Skip to main content

Un bug critique dans le plugin WordPress permettrait aux pirates d'effacer des sites entiers

WordPress
(Crédit photo: Pixabay)

Les chercheurs en sécurité de WebARX ont découvert une nouvelle faille critique dans un plugin WordPress populaire. Celle-ci adjoindrait, à des utilisateurs non authentifiés, la possibilité d’administrer mais aussi de réinitialiser la base de données intégrale d’un site web.

Cette vulnérabilité a été découverte dans le plugin ThemeGrill Demo Importer qui permet de télécharger une grande variété de thèmes pour votre site WordPress. Ledit plugin est aujourd’hui installé sur plus de 200 000 sites.

Des attaques à distance

Selon WebARX, seules les versions 1.3.4 à 1.6.1 du plugin ThemeGrill Demo Importer seraient vulnérables et permettraient à des pirates non authentifiés de lancer des attaques à distance. Ce en envoyant une charge utile, à partir d’une fonctionnalité spécifique du plugin.

La fonctionnalité en question peut effacer directement la base de données d'un site WordPress sur lequel le plugin infecté a été installé au préalable et où un thème ThemeGrill est déjà actif. En outre, si la base de données du site contient un compte sobrement intitulé « admin », le hacker peut facilement récupérer ses identifiants, ainsi que tous les droits d'administrateur.

La faille a été repérée pour la première fois au début du mois de février. Depuis, WebARX a remis ses conclusions à l’éditeur du plugin… qui s’est empressé de publier un correctif.

Toutefois, la dernière version du plugin (1.6.3), compte actuellement un peu plus de 100 000 téléchargements. Ce qui suppose que la moitié des victimes potentielles n’ont pas encore mis à jour leurs sites web et peuvent subir une attaque imminente. Si vous avez installé le plugin ThemeGrill Demo Importer issu sur votre site WordPress, nous ne saurions que fortement vous recommander de réactualiser celui-ci immédiatement.

Via ZDNet