Le plugin WordPress « Simple Social Buttons » présente une vulnérabilité qui expose de nombreux sites à de graves conséquences. Un utilisateur mal intentionné peut en effet s'octroyer des droits d'administrateur et ainsi prendre le contrôle du site.
L'extension Simple Social Buttons pour WordPress offre la possibilité d'insérer sur des pages des boutons de partage sur les réseaux sociaux. Sa simplicité lui a permis d'accéder à une certaine popularité, puisque, d'après son développeur, le plugin aurait été téléchargé plus de 500 000 fois et installé sur plus de 40 000 sites.
Prendre le contrôle de l'admin WordPress
Mais la semaine dernière, un chercheur en cybersécurité de l'entreprise WebARX a mis au jour une vulnérabilité critique dans l'extension. Celle-ci résulterait d'un défaut de conception, associé à un manque de contrôle des droits d'accès.Concrètement, cette faille de sécurité permet à un utilisateur pouvant s'inscrire sur un site à apporter des modifications aux paramètres de WordPress. De cette façon, comme le prouve une vidéo postée sur YouTube par l'auteur de la découverte, un hacker peut changer l'adresse mail liée au compte administrateur. Il a alors loisir de s'accorder toutes les permissions possibles et de prendre le contrôle de la totalité du site.
La faille corrigée dans la dernière mise à jour
De nombreux sites web pourraient être touchés par cette vulnérabilité. Cependant, elle ne concerne que ceux permettant à des utilisateurs de s'inscrire, par exemple pour laisser des commentaires.Si vous pensez être dans ce cas et que vous avez installé le plugin Simple Social Buttons, vérifiez rapidement le numéro de version de l'extension. En effet, la faille n'est présente qu'à partir de la 2.0.4. Dans tous les cas, il est fortement recommandé d'installer la dernière mise à jour (2.0.22), qui contient un patch de sécurité résolvant le bug.
Source : Neowin