Une faille dans une extension WordPress permet de s'emparer des sites

12 février 2019 à 19h45
1
Wordpress

Le plugin WordPress « Simple Social Buttons » présente une vulnérabilité qui expose de nombreux sites à de graves conséquences. Un utilisateur mal intentionné peut en effet s'octroyer des droits d'administrateur et ainsi prendre le contrôle du site.

L'extension Simple Social Buttons pour WordPress offre la possibilité d'insérer sur des pages des boutons de partage sur les réseaux sociaux. Sa simplicité lui a permis d'accéder à une certaine popularité, puisque, d'après son développeur, le plugin aurait été téléchargé plus de 500 000 fois et installé sur plus de 40 000 sites.

Prendre le contrôle de l'admin WordPress

Mais la semaine dernière, un chercheur en cybersécurité de l'entreprise WebARX a mis au jour une vulnérabilité critique dans l'extension. Celle-ci résulterait d'un défaut de conception, associé à un manque de contrôle des droits d'accès.

Concrètement, cette faille de sécurité permet à un utilisateur pouvant s'inscrire sur un site à apporter des modifications aux paramètres de WordPress. De cette façon, comme le prouve une vidéo postée sur YouTube par l'auteur de la découverte, un hacker peut changer l'adresse mail liée au compte administrateur. Il a alors loisir de s'accorder toutes les permissions possibles et de prendre le contrôle de la totalité du site.


La faille corrigée dans la dernière mise à jour

De nombreux sites web pourraient être touchés par cette vulnérabilité. Cependant, elle ne concerne que ceux permettant à des utilisateurs de s'inscrire, par exemple pour laisser des commentaires.

Si vous pensez être dans ce cas et que vous avez installé le plugin Simple Social Buttons, vérifiez rapidement le numéro de version de l'extension. En effet, la faille n'est présente qu'à partir de la 2.0.4. Dans tous les cas, il est fortement recommandé d'installer la dernière mise à jour (2.0.22), qui contient un patch de sécurité résolvant le bug.

Source : Neowin

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
0
Voir tous les messages sur le forum

Actualités du moment

Free Mobile inclut désormais la data depuis la Serbie, la Biélorussie, la Géorgie...
Le RGPD pourrait aider les passagers des compagnies aériennes à se faire rembourser
Smash and Grab, le nouveau court-métrage futuriste réalisé par Pixar est sur YouTube
La PlayStation Classic a fait un flop à 100$... elle est désormais en vente au rabais
Les GAFA réunis pour protéger les
Un malware capable de détourner les cryptomonnaies par copier-coller découvert sur Google Play
La trottinette Xiaomi M365 peut être piratée pour accélérer ou freiner subitement
Les premières TV Samsung iTunes-ready sont là (qui l'eût cru ?)
⚡️ Bon Plan : Montre connectée de sport NO.1 F18 avec GPS à 35,40€ au lieu de 55,72€
Haut de page