AccueilActualités informatiqueLes lacunes du plug-in de template Gutenberg mettent en danger un million...

Les lacunes du plug-in de template Gutenberg mettent en danger un million de sites web WordPress

En raison de deux failles de sécurité dans le plug-in WordPress Gutenberg Template Library & ; Redux Framework, d’innombrables sites web sont vulnérables. Après des attaques réussies, les attaquants pouvaient installer des plug-ins malveillants ou supprimer des messages.

Selon le site officiel du plug-in WordPress, le logiciel compte plus d’un million d’installations actives. Il peut notamment être utilisé pour gérer et appliquer des modèles de conception de sites Web. Les administrateurs doivent s’assurer que la version 4.2.13 est installée. Les développeurs indiquent qu’il corrige les deux vulnérabilités de sécurité (CVE-2021-38312, « haut« , CVE-2021-38314, « MOYEN« ) pour avoir fermé.

En raison de vérifications insuffisantes dans l’API REST de WordPress, un attaquant enregistré en tant qu’auteur pourrait installer des plug-ins arbitraires à partir du dépôt de WordPress. S’il y télécharge un logiciel préparé par un malware, celui-ci pourrait déclencher la prise de contrôle d’un site web après son installation.

Une exploitation réussie de la deuxième vulnérabilité pourrait permettre à un attaquant d’accéder aux informations de configuration du site web qui sont en fait compartimentées. Les auteurs de la découverte des vulnérabilités de Wordfence indiquent dans un message que les développeurs du plug-in ont publié un correctif de sécurité en un peu moins d’une semaine.


(des)

Plus d'articles