Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire

20 octobre 2021 à 13h38
8
Wordpress

Plusieurs vulnérabilités dans le plugin WP Fastest Cache ont été trouvées et rapportées par l'équipe de Jetpack.

Elles ont depuis été corrigées dans une mise à jour par l'équipe en charge du plugin du CMS et il est conseillé de la faire au plus vite.

Un plugin très populaire

WP Fastest Cache est un plugin populaire sur WordPress et installé sur plus d'un million de sites. Il permet de mettre en cache certains éléments d'un site WordPress pour proposer une expérience plus rapide aux utilisateurs. Il contient aussi deux vulnérabilités, découvertes par l'équipe de Jetpack lors d'un audit.

La première est une injection SQL qui nécessite que les attaquants soient connectés et que le Classic Editor, qui permet de retrouver l'ancien éditeur pour ceux qui ne souhaitent pas utiliser Gutenberg, soit installé et activé. Les attaquants peuvent modifier une requête faite à la base de données pour que celle-ci leur retourne des informations normalement inaccessibles, comme les identifiants des utilisateurs et leurs mots de passe hashés.

Une mise à jour disponible

La deuxième vulnérabilité est de type XSS (Cross-Side Scripting), exploitable via une attaque CSRF (Cross-Side Request Forgery). Une attaque CSRF consiste à détourner une session d'un utilisateur authentifié sur le site en le piégeant, par exemple à l'aide d'un lien vers un site malveillant, pour pouvoir réaliser des actions à son insu et en son nom sur le site vulnérable. Si la victime est un administrateur, l'attaquant peut compromettre le site web entier. Ici, à cause d'une mauvaise validation des privilèges utilisateur, l'attaquant pouvait injecter du JavaScript malveillant sur le site et piéger les visiteurs.

Jetpack a prévenu l'équipe en charge du plugin, qui a corrigé les vulnérabilités dans une mise à jour sortie le 11 octobre. D'après Malwarebytes, 650 000 installations du plugin sont encore en version vulnérable. Si vous l'utilisez sur votre site WordPress, il est nécessaire de s'assurer d'avoir la version 0.9.5 et dans le cas contraire, de faire la mise à jour du plugin au plus vite.

Source : Malwarebytes

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
6
mrassol
En plus ces plugins ne servent a rien …
toast
Pourquoi ?
Proutie66
Arrêté…
Cyril_Daniel
argumentation svp ?
Cyril_Daniel
ArretEZ plutôt non ?
mrassol
Car les systemes de cache c’est coté serveur que ca se passe, si votre hebergeur n’en n’a pas mis en place, il y a de forte chance que ces plugins de cache n’accelerent rien. A part virer les commentaires de code et compiler un fichier HTML ca va pas faire grand chose.<br /> Exemple ici : 20 Best WordPress Cache Plugins: Benchmarked! (wpdevshed.com)<br /> Perso, je ne mets plus de plugin de cache, j’ai du memcached et du nginx en frontal sur mes serveurs et ca va reellement plus vite.
barjy
on peut effectivement se poser la question de l’utilisation de ce plugin plutôt que d’utiliser un CDN de type cloudflare + optimiser «&nbsp;un peu&nbsp;» son installation de WP… c’est affollant le nombre de site qui ont des dizaines de plugins activés et ne s’en servent d’aucun…
mrassol
Ou les super plugin pour faire du HTTPS (4 lignes dans le htaccess), ou remettre le classic éditor (1 ligne dans functions.php, pas besoin d’un plugin).<br /> Les plugin c’est la plaie de Wordpress … le pire que j’ai vu c’est plus de 100 plugins … j’en ai viré plus de la moitié …
barjy
et encore, le plugin HTTPS a son utilité pour quelqu’un qui ne maîtrise pas l’informatique (et certains ne sont finalement qu’une IHM pour générer le .htaccess et ne sont pas du tout appellé au moment de l’affichage du site)…<br /> pour (beaucoup) d’autres plugins j’ai par contre vraiment du mal, dans mon top 5:<br /> woocommerce installé sur un blog qui ne fait pas de e-commerce (mais recquis par le thème)<br /> les plugins qui permettent d’installer google analytics alors que la plupart des (bons) themes le propose dans leur config<br /> les plugins de «&nbsp;social sharing&nbsp;» qui plombent littéralement l’affichage des pages<br /> les plugins de traduction auto du site (non mais sérieux? fonctionnalité intégrée à Chrome et qui fout un bronx absolu dans le référencement)<br /> plus généralement les plugins qui font des trucs «&nbsp;super sexy&nbsp;» mais dont on se tape le coquillard<br /> Mais je prense qu’on à tous notre top 5
Voir tous les messages sur le forum

Lectures liées

120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO
VPN : CyberGhost, Surfshark ou NordVPN ? La sélection à lire pour faire votre choix !
La suite de cybersécurité Avast Ultimate à prix bas : l'idéal pour une protection complète et efficace
Peut-on interdire les mots de passe par défaut ? C'est ce que veut le gouvernement britannique
L'excellent antivirus optimisé Mac en promo : pourquoi Intego est un service indispensable ?
Surfshark VPN fait encore chuter ses tarifs, un service VPN performant à ne pas manquer !
Plusieurs montres connectées pour enfants présentent d’importants risques de sécurité
CyberGhost n'arrête plus de casser ses prix, faut-il craquer pour ce VPN au top ?
Plus de 150 000 cartes bancaires françaises trouvées en vente sur le dark web
Bitdefender poursuit les promos, un antivirus complet pour une protection efficace et abordable
Haut de page