Malgré deux défauts critiques dans un Plugin WordPress étant corrigé il y a des semaines, des centaines de milliers de webmasters n’ont pas encore déployé la mise à jour, mettant leurs sites en danger d’attaques par prise de contrôle.
Le plugin WordPress SEO « Tout en un » était vulnérable à deux failles – CVE-2021-25036, qui est une faille critique d’escalade de privilèges authentifiés, et CVE-2021-25037, un bug d’injection SQL authentifiée de haute gravité.
Au total, trois millions de sites étaient vulnérables à la faille. Au cours des deux dernières semaines, depuis que le correctif a été publié par les développeurs du plugin, plus de deux millions de plugins ont été mis à jour, laissant quelque 820 000 encore vulnérables.
Mise à jour rapide des plugins
Même si les failles nécessitent que l’attaquant soit authentifié avec WordPress, elles n’ont besoin que d’autorisations de bas niveau, telles que l’Abonné, pour fonctionner. Habituellement, un abonné ne peut que publier des commentaires et modifier son propre profil, mais avec CVE-2021-25036, il peut élever ses privilèges et exécuter du code à distance sur des sites vulnérables.
Le chercheur en sécurité automatique Marc Montpas, qui a le premier repéré les failles, affirme qu’il est facile d’abuser de ces failles sur des sites vulnérables, car tout ce que l’attaquant doit faire est de changer « un seul caractère en majuscule » pour contourner toutes les vérifications de privilèges.
« C’est particulièrement inquiétant car certains des points de terminaison du plugin sont assez sensibles. Par exemple, le aioseo/v1/htaccess point final peut réécrire le .htaccess d’un site avec un contenu arbitraire », a-t-il déclaré. « Un attaquant pourrait abuser de cette fonctionnalité pour masquer les portes dérobées .htaccess et exécuter un code malveillant sur le serveur.
Webmasters utilisant le SEO All in One WordPress plugin doit s’assurer qu’ils le mettent à jour vers la version 4.1.5.3.
Les défauts graves qui accompagnent les plugins WordPress sont relativement fréquents. Par exemple, il y a tout juste un mois, une vulnérabilité dans le Modèles de démarrage – Plugin de modèles Elementor, Gutenberg et Beaver Builder, permettait aux utilisateurs de niveau contributeur d’écraser complètement n’importe quelle page du site et d’intégrer à volonté du code JavaScript malveillant. Dans ce cas, plus d’un million de sites étaient menacés.
Le même mois, le «Aperçu des e-mails pour WooCommerce» Le plugin s’est également avéré contenir une faille sérieuse, permettant potentiellement aux attaquants de prendre le contrôle complet du site. Le plugin a été utilisé par plus de 20 000 sites.
- Vous pouvez également consulter notre liste des meilleurs pare-feu du moment
Passant par: Ordinateur qui bipe