Un plugin WordPress non sécurisé met une centaine de milliers de sites web en danger

faille de sécurité WordPress
(Crédit photo: Shutterstock / Brazhyk)

Une faille de sécurité de type cross-site scripting (XSS), découverte dans le plugin WordPress SEOPress, pourrait permettre à tout cybercriminel d'injecter des scripts web arbitraires dans des installations vulnérables et de prendre le contrôle de divers sites web.

SEOPress est un plugin SEO populaire, activé spécifiquement sur une centaine de milliers de sites WordPress à ce jour. Cette brèche a été découverte par les analystes du service de protection Wordfence, qui l'ont depuis portée à l'attention de l’éditeur du plugin le mois dernier.

"Le plugin permet d'ajouter un titre et une description SEO aux différents articles d’un site web. Cette étape peut aussi être effectuée lors de l'édition d’un article ou via un point de terminaison REST-API nouvellement introduit. Malheureusement, ce point de terminaison REST-API n'a pas été mis en œuvre de manière sécurisée", explique Chloé Chamberland, analyste des menaces chez Wordfence.

A la portée de n’importe qui

Mme Chamberland estime que les vulnérabilités cross-site scripting telles que celle découverte dans SEOPress peuvent être exploitées pour exécuter diverses actions malveillantes. Comme la création de nouveaux comptes administratifs, l'injection de webshell, des redirections arbitraires, ou la prise de contrôle d’un site WordPress.

Partageant les détails techniques de cette vulnérabilité, Chamberland affirme qu'elle pourrait être exploitée par n'importe quel utilisateur authentifié, pour mettre à jour le titre et la description SEO de tout article.

"La charge utile inclut des scripts web malveillants, à l’instar de JavaScript, en raison d'un manque d'assainissement des paramètres stockés", détaille Chamberland, ajoutant que ces scripts s'exécuteraient chaque fois qu'un utilisateur accède à la page "All Posts". 

Cette faille a été entièrement corrigée dans la version SEOPress v5.0.4, et Wordfence invite tous les utilisateurs du plugin à mettre à jour leur configuration.

Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.