Les propriétaires de sites WordPress qui utilisent le plugin Newsletter sont invités à mettre à jour leurs installations pour bloquer les attaques qui pourraient utiliser une vulnérabilité corrigée permettant aux pirates d’injecter des portes dérobées, de créer des administrateurs voyous et potentiellement de prendre le contrôle de leurs sites Web.

La vulnérabilité a été trouvée dans le plugin WordPress Newsletter qui fournit les outils nécessaires pour créer des campagnes de newsletter et de marketing par e-mail réactives sur les blogs WordPress à l’aide d’un compositeur visuel.

La newsletter a déjà été téléchargée plus de 12 millions de fois depuis son ajout au référentiel officiel de plugins WordPress et est désormais installée sur plus de 300 000 sites.

Patched dans les deux jours

Dans un rapport publié aujourd’hui par l’équipe Threat Intelligence de Wordfence, l’analyste des menaces Ram Gall a déclaré qu’il avait découvert deux failles de sécurité supplémentaires lors de l’analyse d’un correctif précédent publié par les développeurs du plugin le 13 juillet.

Wordfence a repéré une faille XSS (Cross-Site Scripting) et une vulnérabilité d’injection d’objets PHP qui ont toutes deux été entièrement corrigées par l’équipe de développement de Newsletter le 17 juillet avec la sortie de la version 6.8.3, deux jours après le rapport initial envoyé le 15 juillet.

Alors que les deux failles sont classées comme des problèmes de gravité moyenne et élevée, qui pourraient permettre aux attaquants d’ajouter des administrateurs malveillants et d’injecter des portes dérobées après avoir exploité avec succès le problème XSS reflété sur les sites exécutant des versions vulnérables du plugin Newsletter.

Infos WEB:  Des chercheurs de Google découvrent plusieurs vulnérabilités dans le cadre ImageIO d'Apple

De plus, la faille d’injection d’objet PHP « pourrait être utilisée pour injecter un objet PHP qui pourrait être traité par le code d’un autre plugin ou thème et utilisé pour exécuter du code arbitraire, télécharger des fichiers ou tout autre type de tactique pouvant conduire à la prise de contrôle du site, « selon Gall.

Tableau de bord du plugin Newsletter
Tableau de bord du plugin Newsletter

Au moins 150000 sites toujours exposés aux attaques

Même si Newsletter 6.8.3, la version du plugin qui contient un correctif pour les deux vulnérabilités, a été publiée le 17 juillet, le …

Voir la source de cette publication