Les chercheurs ont découvert deux vulnérabilités graves dans le plugin PageLayer WordPress qui pourraient permettre aux pirates de pirater des sites Web qui utilisent ses fonctionnalités de conception.
Le plugin affecté est utilisé pour créer des pages Web personnalisées via un simple mécanisme de glisser-déposer – une aubaine pour les utilisateurs sans expertise en programmation – et est déployé sur plus de 200 000 sites Web.
Identifiés par la société de sécurité Wordfence, les deux bogues pourraient également être manipulés par des cybercriminels pour injecter du code truqué, se mêler du contenu du site Web existant et même effectuer un effacement total du contenu.
Sommaire
Bugs des plugins WordPress
Selon les chercheurs responsables de la découverte, la paire de vulnérabilités provient d'actions AJAX non protégées, d'une divulgation de nonce et d'un manque de mesures de protection contre la contrefaçon de demande intersite (CSRF).
Les pirates informatiques auraient pu exploiter ces oublis pour effectuer toutes sortes d'activités malveillantes, notamment en créant des comptes d'administrateur, en canalisant les visiteurs vers des domaines dangereux et en envahissant l'ordinateur d'un utilisateur via le navigateur Web.
«Une faille a permis à tout utilisateur authentifié disposant d'autorisations de niveau abonné et supérieur de mettre à jour et de modifier des publications avec un contenu malveillant, entre autres», a expliqué Wordfence.
"Une deuxième faille a permis aux attaquants de forger une demande au nom de l'administrateur d'un site pour modifier les paramètres du plugin, ce qui pourrait permettre une injection Javascript malveillante."
La firme de sécurité a révélé les failles le 30 avril et PageLayer a ensuite publié un correctif le 6 mai, avec la version 1.1.2. Cependant, bien que trois semaines se soient écoulées depuis la publication du correctif, seulement environ 85 000 utilisateurs ont mis à jour vers la dernière version, laissant environ 120 000 personnes encore en danger.
Pour se prémunir contre la reprise du site, les utilisateurs de PageLayer sont invités à mettre à jour le plugin vers la dernière version immédiatement.