Home Ça parle de Cyberattaques & Technologies Les bugs des plugins WordPress peuvent permettre aux pirates de prendre le contrôle de près d’un million de sites

Les bugs des plugins WordPress peuvent permettre aux pirates de prendre le contrôle de près d’un million de sites

Sergiu Gatlan
-
0

[ad_1]

Deux vulnérabilités de gravité élevée trouvées dans le plugin Word Builder de Page Builder installé sur plus de 1000000 sites peuvent permettre aux pirates de créer de nouveaux comptes d’administrateur, de planter des portes dérobées et, finalement, de reprendre les sites Web compromis.

Les vulnérabilités sont une contrefaçon de demande intersite (CSRF) conduisant à des attaques XSS (Reflected Cross-Site Scripting) et elles affectent toutes les versions de Page Builder jusqu’au 2.10.15 inclus.

Les attaquants peuvent exploiter ces failles de sécurité en incitant l’administrateur du site WordPress à cliquer sur des liens ou des pièces jointes spécialement conçus et à exécuter du code malveillant dans leur navigateur, ainsi qu’à forger des demandes en leur nom.

Page Builder est un plugin populaire développé par SiteOrigin pour aider les utilisateurs à créer facilement du contenu de page de grille réactif à l’aide d’un éditeur de création de page basé sur un widget.

Générateur de pages
Plugin Page Builder (SiteOrigin)

Injection de code malveillant

Les deux vulnérabilités de sécurité de Page Builder sont jugées très graves par l’équipe Threat Intelligence de Wordfence qui les a découvertes et a signalé les problèmes aux développeurs du plugin le 4 mai.

L’équipe de développement a publié un correctif pour résoudre les deux problèmes de sécurité le lendemain, le 5 mai, en ajoutant des vérifications nonce à la fois à la fonction Live Editor et à l’action builder_content où les deux bogues ont été trouvés.

Comme l’expliquent les chercheurs, l’exploitation des deux bogues peut « être utilisée pour rediriger l’administrateur d’un site, créer un nouveau compte d’utilisateur administratif, ou, comme on l’a vu dans la récente campagne d’attaque ciblant les vulnérabilités XSS, être utilisée pour injecter une porte dérobée sur un site ».

Les attaquants qui savent ce qu’ils font peuvent également prendre entièrement le contrôle des sites Web WordPress compromis une fois qu’ils ont créé des comptes d’administrateur malveillants et ont installé des portes dérobées pour maintenir l’accès.

Des millions de sites WordPress en attente de correctifs

L’équipe de développement de Page Builder a mis à jour le plugin à 2.10.16 il y a presque une semaine pour corriger les deux failles de sécurité et les utilisateurs sont invités à patcher leurs installations pour éviter les attaques.

Cependant, un peu plus …

Voir la source de cette publication

[ad_2]

© Newspaper WordPress Theme by TagDiv