Un plugin WordPress non sécurisé met une centaine de milliers de sites web en danger
Les administrateurs de sites WordPress sont sur le qui-vive depuis qu’une faille de sécurité a été découverte sur un plugin très populaire.
Une faille de sécurité de type cross-site scripting (XSS), découverte dans le plugin WordPress SEOPress, pourrait permettre à tout cybercriminel d'injecter des scripts web arbitraires dans des installations vulnérables et de prendre le contrôle de divers sites web.
SEOPress est un plugin SEO populaire, activé spécifiquement sur une centaine de milliers de sites WordPress à ce jour. Cette brèche a été découverte par les analystes du service de protection Wordfence, qui l'ont depuis portée à l'attention de l’éditeur du plugin le mois dernier.
"Le plugin permet d'ajouter un titre et une description SEO aux différents articles d’un site web. Cette étape peut aussi être effectuée lors de l'édition d’un article ou via un point de terminaison REST-API nouvellement introduit. Malheureusement, ce point de terminaison REST-API n'a pas été mis en œuvre de manière sécurisée", explique Chloé Chamberland, analyste des menaces chez Wordfence.
- Meilleurs antivirus 2021 : quelle solution choisir ?
- En complément de votre antivirus, optez pour les meilleurs VPN
- Vie privée : comment rester anonyme sur Internet et les réseaux sociaux ?
A la portée de n’importe qui
Mme Chamberland estime que les vulnérabilités cross-site scripting telles que celle découverte dans SEOPress peuvent être exploitées pour exécuter diverses actions malveillantes. Comme la création de nouveaux comptes administratifs, l'injection de webshell, des redirections arbitraires, ou la prise de contrôle d’un site WordPress.
Partageant les détails techniques de cette vulnérabilité, Chamberland affirme qu'elle pourrait être exploitée par n'importe quel utilisateur authentifié, pour mettre à jour le titre et la description SEO de tout article.
"La charge utile inclut des scripts web malveillants, à l’instar de JavaScript, en raison d'un manque d'assainissement des paramètres stockés", détaille Chamberland, ajoutant que ces scripts s'exécuteraient chaque fois qu'un utilisateur accède à la page "All Posts".
Cette faille a été entièrement corrigée dans la version SEOPress v5.0.4, et Wordfence invite tous les utilisateurs du plugin à mettre à jour leur configuration.
Etes-vous un expert ? Abonnez-vous à notre newsletter
Inscrivez-vous à la newsletter TechRadar Pro pour recevoir toutes les actualités, les opinions, les analyses et les astuces dont votre entreprise a besoin pour réussir !
With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.