Un bug sur ce plugin WordPress concernerait près d’un million de site

Presque un million de sites pourraient être en péril par une vulnérabilité critique récemment découvert dans WP-Super-Cache, un plugin WordPress qui génère des fichiers HTML statiques à partir de blogs WordPress dynamiques.

Le cross-site scripting bug persistant permet aux pirates d’insérer du code malveillant dans des pages WordPress publiés qui utilisent l’extension, selon un billet de blog publié en avril 2015 par le cabinet de sécurité Sucuri. Toute personne qui utilise cette version  doit immédiatement passer à la version 1.4.4, qui a des correctifs pour ce bogue et plusieurs autres.

Sucuri chercheur Marc-Alexandre Montpas a écrit:

En utilisant cette vulnérabilité, un attaquant utilisant une requête soigneusement élaborée pourrait insérer des scripts malveillants à la page fichier de liste en cache du plugin. Comme cette page nécessite une nonce valide afin d’être affiché, une exploitation réussie, il faudrait l’administrateur du site pour avoir un oeil à cet article en particulier, manuellement.

Lorsqu’il est exécuté, les scripts injectées pourraient être utilisés pour effectuer un grand nombre d’autres choses comme l’ajout d’un nouveau compte administrateur pour le site, injectant backdoors en utilisant WordPress thème outils d’édition, etc.

Le bug réside dans la façon WP-Super-Cache affiche des informations stockées dans la clé de fichier de cache. Dans les versions vulnérables, les données fournies par l’utilisateur a été ajouté au contenu de la page sans être frotté propre de toutes les commandes potentiellement malveillants.

Nos sites internet :

Site Agence digitale Paris
Site spécialisé pour Maintenance WordPress, Sécurité WordPress et Hébergement Wordpress