Une faille dans une extension WordPress permet de s'emparer des sites

Bastien Contreras
Publié le 12 février 2019 à 19h45
Wordpress

Le plugin WordPress « Simple Social Buttons » présente une vulnérabilité qui expose de nombreux sites à de graves conséquences. Un utilisateur mal intentionné peut en effet s'octroyer des droits d'administrateur et ainsi prendre le contrôle du site.

L'extension Simple Social Buttons pour WordPress offre la possibilité d'insérer sur des pages des boutons de partage sur les réseaux sociaux. Sa simplicité lui a permis d'accéder à une certaine popularité, puisque, d'après son développeur, le plugin aurait été téléchargé plus de 500 000 fois et installé sur plus de 40 000 sites.

Prendre le contrôle de l'admin WordPress

Mais la semaine dernière, un chercheur en cybersécurité de l'entreprise WebARX a mis au jour une vulnérabilité critique dans l'extension. Celle-ci résulterait d'un défaut de conception, associé à un manque de contrôle des droits d'accès.

Concrètement, cette faille de sécurité permet à un utilisateur pouvant s'inscrire sur un site à apporter des modifications aux paramètres de WordPress. De cette façon, comme le prouve une vidéo postée sur YouTube par l'auteur de la découverte, un hacker peut changer l'adresse mail liée au compte administrateur. Il a alors loisir de s'accorder toutes les permissions possibles et de prendre le contrôle de la totalité du site.


La faille corrigée dans la dernière mise à jour

De nombreux sites web pourraient être touchés par cette vulnérabilité. Cependant, elle ne concerne que ceux permettant à des utilisateurs de s'inscrire, par exemple pour laisser des commentaires.

Si vous pensez être dans ce cas et que vous avez installé le plugin Simple Social Buttons, vérifiez rapidement le numéro de version de l'extension. En effet, la faille n'est présente qu'à partir de la 2.0.4. Dans tous les cas, il est fortement recommandé d'installer la dernière mise à jour (2.0.22), qui contient un patch de sécurité résolvant le bug.

Source : Neowin

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (1)
CypElf

C’est pas nouveau ce genre de failles dans les extensions WordPress, n’importe qui peut en créer et laisser des failles… Ça n’a jamais été très sécurisé

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles