Un bug critique dans le plugin WordPress permettrait aux pirates d'effacer des sites entiers
Plus de 200 000 sites web seraient concernés.
Les chercheurs en sécurité de WebARX ont découvert une nouvelle faille critique dans un plugin WordPress populaire. Celle-ci adjoindrait, à des utilisateurs non authentifiés, la possibilité d’administrer mais aussi de réinitialiser la base de données intégrale d’un site web.
Cette vulnérabilité a été découverte dans le plugin ThemeGrill Demo Importer qui permet de télécharger une grande variété de thèmes pour votre site WordPress. Ledit plugin est aujourd’hui installé sur plus de 200 000 sites.
- Microsoft détecte un nouveau malware caché derrière des fichiers Excel.
- Mozilla supprime près de 200 modules complémentaires douteux sur Firefox.
- Comment rester anonyme sur Internet et les réseaux sociaux ?
Des attaques à distance
Selon WebARX, seules les versions 1.3.4 à 1.6.1 du plugin ThemeGrill Demo Importer seraient vulnérables et permettraient à des pirates non authentifiés de lancer des attaques à distance. Ce en envoyant une charge utile, à partir d’une fonctionnalité spécifique du plugin.
La fonctionnalité en question peut effacer directement la base de données d'un site WordPress sur lequel le plugin infecté a été installé au préalable et où un thème ThemeGrill est déjà actif. En outre, si la base de données du site contient un compte sobrement intitulé « admin », le hacker peut facilement récupérer ses identifiants, ainsi que tous les droits d'administrateur.
La faille a été repérée pour la première fois au début du mois de février. Depuis, WebARX a remis ses conclusions à l’éditeur du plugin… qui s’est empressé de publier un correctif.
Toutefois, la dernière version du plugin (1.6.3), compte actuellement un peu plus de 100 000 téléchargements. Ce qui suppose que la moitié des victimes potentielles n’ont pas encore mis à jour leurs sites web et peuvent subir une attaque imminente. Si vous avez installé le plugin ThemeGrill Demo Importer issu sur votre site WordPress, nous ne saurions que fortement vous recommander de réactualiser celui-ci immédiatement.
Via ZDNet
Etes-vous un expert ? Abonnez-vous à notre newsletter
Inscrivez-vous à la newsletter TechRadar Pro pour recevoir toutes les actualités, les opinions, les analyses et les astuces dont votre entreprise a besoin pour réussir !
After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.