Une faille de sécurité dans le plug-in WP Reset Pro de WordPress permettait aux utilisateurs connectés de supprimer des sites web entiers sans autorisation suffisante. Le logiciel aide les développeurs de sites web et de thèmes, par exemple, à réinitialiser rapidement toute modification dans WordPress. La version gratuite du plug-in a déjà été installée plus de 300 000 fois, le fabricant parle même de plus de 400 000 ; la version Pro concernée n’est probablement pas aussi répandue.

Les experts en sécurité informatique de Patchstack ont découvert la vulnérabilité (CVE-2021-36909, CVSS 8.8) et l’ont signalée directement au fabricant du plug-in. Après une période d’attente de 6 semaines, Patchstack a maintenant publié un article avec des détails. Cela aurait dû donner aux utilisateurs du plug-in suffisamment de temps pour effectuer la mise à jour vers la version corrigée qui est maintenant disponible.

Selon les chercheurs en sécurité, le plug-in WP Reset de la version Pro ne vérifiait pas correctement les autorisations, ni le jeton aléatoire à usage unique de la session. Et ce, malgré le fait que le plug-in effectue les opérations de suppression dans le contexte de l’administrateur. Selon ce principe, toute personne ayant accès aux commentaires, par exemple, pourrait utiliser un paramètre tel que %%wp et ainsi supprimer toutes les tables de la base de données avec le préfixe wp à supprimer. Cela réinitialise l’instance de WordPress jusqu’à ce qu’elle soit à nouveau configurée lorsque la page est visitée.

Les utilisateurs du plug-in WP Reset Pro doivent installer rapidement la mise à jour disponible vers la version 5.99 ou une version plus récente. Dans la version gratuite, l’erreur n’est apparemment pas présente ; ici, aucune action de la part des administrateurs de WordPress n’est nécessaire.