Plus de 17 000 sites Web sont exposés à des attaques ciblant une vulnérabilité critique du jour zéro dans le plugin WordPress Fancy Product Designer, prévient l’équipe Wordfence de la société de sécurité WordPress Defiant.

Fancy Product Designer est un plugin premium pour les magasins en ligne qui offre aux utilisateurs la possibilité de personnaliser les produits avec des images et des fichiers PDF téléchargés à partir de divers appareils. Le plugin fournit également diverses autres options de personnalisation.

Cette semaine, Wordfence a découvert que les acteurs de la menace ciblaient une vulnérabilité critique non corrigée dans Fancy Product Designer. Le problème, expliquent-ils, pourrait être exploité dans certaines configurations même si le plugin a été désactivé.

Suivi comme CVE-2021-24370 et présentant un score CVSS de 9,8, le bogue de sécurité existe parce que le plugin n’a pas suffisamment de contrôles en place et parce que les contrôles existants peuvent facilement être contournés, permettant ainsi le téléchargement de fichiers malveillants.

Un attaquant ciblant la vulnérabilité pourrait télécharger des fichiers PHP exécutables sur tout site Web sur lequel le plug-in est installé. L’exploitation réussie du bogue pourrait fournir à l’attaquant la possibilité d’exécuter du code à distance et de prendre complètement le contrôle d’un site Web.

Wordfence s’est abstenu de fournir plus de détails sur la vulnérabilité, mais a déclaré qu’il publierait des informations techniques supplémentaires une fois qu’un correctif aurait été publié.

Cependant, la société de sécurité a partagé des indicateurs de compromission (IOC), qui incluent la présence d’un fichier avec un identifiant unique et une extension PHP dans les sous-dossiers wp-admin ou wp-content/plugins/fancy-product-designer/inc.

Le bogue, selon Wordfence, fait l’objet d’attaques depuis au moins le 16 mai, la plupart des attaques provenant de trois adresses IP uniquement, suggérant une opération à petite échelle.

Le développeur de Fancy Product Designer a été informé de la vulnérabilité le 31 mai, le jour où l’équipe de Wordfence a remarqué les attaques.

Connexe : WordPress 5.7.1…