Un plugin WordPress expose plus de 10 000 sites à une faille d’escalade de privilèges.
WordPress, une cible privilégiée
Il y a aujourd'hui 1,21 milliard de sites web dans le monde, dont 529 millions - ou 43,2% - sont propulsés par WordPress. Il n'est donc pas surprenant que la plateforme d'Automattic soit régulièrement la cible des hackers.
L'aspect modulaire de WordPress, via des extensions et des thèmes à télécharger, n'arrange certainement pas les choses. Récemment, une vulnérabilité critique a été découverte dans le plugin Eventin, développé par Themewinter et spécialisé dans la gestion d’événements. Cette faille expose plus de 10 000 sites à un risque de compromission totale.
Cette brèche, identifiée sous le code CVE-2025-47539, a permis à des attaquants de créer des comptes administrateurs sans authentification préalable, donnant potentiellement à un tiers un contrôle total sur le site et ses données.
Une faille dans l’API REST du plugin Eventin
Plus précisément, la vulnérabilité du créateur de site web se situe dans l’implémentation d’un point d’accès de l’API REST du plugin. Celui-ci est destiné à l’importation de données via un fichier CSV. Le mécanisme de contrôle des permissions, censé restreindre l’accès, ne fonctionnait pas correctement. Il permettait à n’importe quel utilisateur, même non authentifié, d’envoyer un fichier CSV contenant les informations d’un nouvel utilisateur fictif, y compris en lui associant le rôle d'administrateur.
Après la création de ce nouveau compte, l’attaquant bénéficiait d'un accès complet à l’interface de gestion du site. Il avait donc la main pour modifier le contenu, ou injecter des logiciels malveillants.
Selon Cyber Press, qui rapporte l'information, un correctif a été publié dans la version 4.0.27 du plugin, lequel introduit une vérification des permissions limitant ainsi l’accès à l’importation aux seuls rôles autorisés.
Les administrateurs sont invités à installer la mise à jour du plugin, mais également à passer en revue la liste des utilisateurs afin de détecter d’éventuels comptes administrateurs suspects, de réinitialiser les mots de passe et d’activer l’authentification à deux facteurs pour renforcer la sécurité des comptes sensibles.
05 mai 2025 à 10h09
