Un plugin populaire pour le constructeur de site Web WordPress (s’ouvre dans un nouvel onglet) avec plus de deux millions d’installations actives, comportait une grave faille qui permettait aux acteurs de la menace de voler des données sensibles aux visiteurs et, dans certains cas, de prendre entièrement le contrôle du site Web.
Le plugin s’appelle Advanced Custom Fields qui, avec sa version Pro, donne aux administrateurs de sites Web plus de contrôle sur le contenu et les données du site Web.
Cependant, le plug-in était vulnérable à une attaque de script intersite (XSS), qui permet aux attaquants d’injecter du code malveillant dans des sites Web vulnérables. Le code est ensuite exécuté dans le navigateur du visiteur, permettant aux attaquants de saisir des données sensibles. Si l’un des visiteurs s’avère également être l’administrateur du site, l’attaquant peut également saisir ses données et finalement prendre le contrôle complet du site Web.
Corriger la faille
La vulnérabilité a été découverte pour la première fois en mai 2023 par le chercheur de Patchstack Rafie Muhammad et signalée au fournisseur du plugin, Delicious Brains.
Il a reçu un numéro de suivi CVE-2023-30777 et a été noté 6,1/10 en gravité. Deux mois plus tard, début avril, Delicious Brains a publié un correctif qui corrigeait la faille, qui portait également le plugin à la version 6.1.6. Les administrateurs inquiets des attaques de scripts intersites doivent s’assurer que leur plugin est mis à jour dès que possible vers cette version.
« Cette vulnérabilité permet à tout utilisateur non authentifié [to steal] informations sensibles pour, dans ce cas, escalader les privilèges sur le site WordPress en incitant l’utilisateur privilégié à visiter le chemin d’URL spécialement conçu », explique Patchstack. « Cette vulnérabilité pourrait être déclenchée sur une installation ou une configuration par défaut du plug-in Advanced Custom Fields. Le XSS ne peut également être déclenché que par les utilisateurs connectés qui ont accès au plug-in Advanced Custom Fields », ont conclu les chercheurs.
Selon Le registrele défaut est relativement simple et est l’un des quatre trouvés dans ce plugin au cours des deux dernières années.
Via : Le Registre (s’ouvre dans un nouvel onglet)