WordPress a récemment installé de force un correctif sur plus de cinq millions de sites Web dans le but de les protéger d’une faille de haute gravité récemment découverte.
La faille a été trouvée dans Jetpack, l’un des plugins les plus populaires pour le célèbre constructeur de sites Web, qui offre des fonctionnalités supplémentaires de sécurité, de performances et de gestion de sites Web.
Selon la société mère de WordPress, Automattic, le plugin compte plus de cinq millions d’installations actives, les administrateurs l’utilisant pour sauvegarder leurs sites, se protéger contre les attaques par force brute, rechercher les attaques de logiciels malveillants, etc.
La plupart des sites sécurisés
« Lors d’un audit de sécurité interne, nous avons trouvé une vulnérabilité avec l’API disponible dans Jetpack depuis la version 2.0, publiée en 2012 », a déclaré Jeremy Herve, ingénieur des relations avec les développeurs d’Automatic. « Cette vulnérabilité pourrait être utilisée par les auteurs d’un site pour manipuler n’importe quel fichier de l’installation de WordPress. »
Au 30 mai, Jetpack 12.1.1 a été téléchargé et installé sur plus de 4 350 000 sites Web, selon WordPress officiel données. Cela représente environ 45 % de l’ensemble de l’écosystème WordPress, ce qui signifie qu’environ 55 % ne sont pas protégés. Pour éviter toute confusion, cela inclut les installations actives et inactives. La majorité des sites Web actifs ont été corrigés, semble-t-il.
Il n’y a aucune preuve d’abus de la faille dans la nature, a déclaré Herve, ajoutant que cela changera probablement maintenant une fois que la vulnérabilité sera exposée au public.
« Nous n’avons aucune preuve que cette vulnérabilité a été exploitée dans la nature. Cependant, maintenant que la mise à jour a été publiée, il est possible que quelqu’un essaie de profiter de cette vulnérabilité », a-t-il ajouté.
« Veuillez mettre à jour votre version de Jetpack dès que possible pour assurer la sécurité de votre site. Pour vous aider dans ce processus, nous avons travaillé en étroite collaboration avec l’équipe de sécurité de WordPress.org pour publier des versions corrigées de chaque version de Jetpack depuis la 2.0. La plupart les sites Web ont été ou seront bientôt automatiquement mis à jour vers une version sécurisée. »
La dernière fois que WordPress a installé de force une mise à jour majeure, c’était il y a près d’un an, en juin 2022, lorsqu’il a corrigé une faille très grave dans Ninja Forms. Le plugin, qui comptait plus d’un million d’installations à l’époque, a permis aux acteurs potentiels de la menace de prendre complètement le contrôle d’un site Web vulnérable.
Contrairement à la vulnérabilité Jetpack, la faille de Ninja Forms était exploitée à l’état sauvage, disaient les chercheurs à l’époque. Les utilisateurs ont été invités à s’assurer que leur plugin a été mis à jour vers la version 3.6.11, au cas où la mise à jour automatique échouerait pour une raison quelconque.
Via : BleepingComputer