Une faille dans une extension WordPress permet de s'emparer des sites

12 février 2019 à 19h45
1
Wordpress

Le plugin WordPress « Simple Social Buttons » présente une vulnérabilité qui expose de nombreux sites à de graves conséquences. Un utilisateur mal intentionné peut en effet s'octroyer des droits d'administrateur et ainsi prendre le contrôle du site.

L'extension Simple Social Buttons pour WordPress offre la possibilité d'insérer sur des pages des boutons de partage sur les réseaux sociaux. Sa simplicité lui a permis d'accéder à une certaine popularité, puisque, d'après son développeur, le plugin aurait été téléchargé plus de 500 000 fois et installé sur plus de 40 000 sites.

Prendre le contrôle de l'admin WordPress

Mais la semaine dernière, un chercheur en cybersécurité de l'entreprise WebARX a mis au jour une vulnérabilité critique dans l'extension. Celle-ci résulterait d'un défaut de conception, associé à un manque de contrôle des droits d'accès.

Concrètement, cette faille de sécurité permet à un utilisateur pouvant s'inscrire sur un site à apporter des modifications aux paramètres de WordPress. De cette façon, comme le prouve une vidéo postée sur YouTube par l'auteur de la découverte, un hacker peut changer l'adresse mail liée au compte administrateur. Il a alors loisir de s'accorder toutes les permissions possibles et de prendre le contrôle de la totalité du site.


La faille corrigée dans la dernière mise à jour

De nombreux sites web pourraient être touchés par cette vulnérabilité. Cependant, elle ne concerne que ceux permettant à des utilisateurs de s'inscrire, par exemple pour laisser des commentaires.

Si vous pensez être dans ce cas et que vous avez installé le plugin Simple Social Buttons, vérifiez rapidement le numéro de version de l'extension. En effet, la faille n'est présente qu'à partir de la 2.0.4. Dans tous les cas, il est fortement recommandé d'installer la dernière mise à jour (2.0.22), qui contient un patch de sécurité résolvant le bug.

Source : Neowin

1
0
Partager l'article :
Voir tous les messages sur le forum

Actualités récentes

10 jeux bacs à sable et simulateurs de promenades pour explorer l'univers malgré le confinement
Le TOP des promos high-tech à saisir ce samedi soir en attendant le Black Friday
Test vélo électrique VanMoof S3 : une jolie réussite
Le smartphone POCO M3 est (déjà) en promo chez Amazon !
Test Creative Outlier Air V2 : des écouteurs toujours aussi bien pensés, à l’autonomie monstrueuse
La célèbre enceinte Ultimate Ears Megaboom à moins 46% ce week-end
Qu'est-ce qu'un spyware et comment s'en protéger avec un antivirus ?
100€ de remise immédiate sur le Marshall Monitor II ANC chez Amazon
Une TV QLED TLC de 65 pouces à un prix imbattable pour le Black Friday (100 € ODR)
Idée cadeau Noël : la célèbre Fabrique à histoires Lunii est de retour en promo
Haut de page