Connectez-vous avec nous

Smartphones et Tablettes

Un bogue critique dans le plugin WordPress pourrait permettre aux pirates d'effacer des sites entiers

Les chercheurs en sécurité de WebARX ont découvert un bogue critique dans un plugin WordPress populaire qui pourrait permettre aux utilisateurs non authentifiés d'obtenir des privilèges administratifs et de restaurer la base de données entière d'un site à son état par défaut s'il n'était pas corrigé.

La vulnérabilité a été trouvée dans le plugin ThemeGrill Demo Importer qui est livré avec des thèmes WordPress vendus par la société de développement Web ThemeGrill.

Le plugin est installé sur plus de 200 000 sites et permet aux propriétaires de sites d'importer du contenu de démonstration dans leurs thèmes ThemeGrill pour leur fournir des exemples qu'ils peuvent utiliser pour créer leurs propres sites.

Selon un nouveau rapport de WebARX, les versions 1.3.4 à 1.6.1 du plugin ThemeGrill Demo Importer sont vulnérables au bogue qui pourrait permettre aux pirates non authentifiés de lancer des attaques à distance sur des sites WordPress sur lesquels le plugin est installé.

Attaques à distance

Les pirates peuvent exploiter la vulnérabilité de ThemeGrill Demo Importer en envoyant une charge utile spécialement conçue aux sites sur lesquels une ancienne version du plug-in est installée pour déclencher une fonction à l'intérieur du plug-in.

Cette fonction peut être utilisée pour effacer la base de données d'un site WordPress où un thème ThemeGrill est actif et le plugin vulnérable est installé. De plus, si la base de données du site contient un utilisateur nommé «admin», l'attaquant se voit accorder l'accès à cet utilisateur ainsi que les droits d'administrateur complets sur le site.

Les chercheurs de WebARX ont découvert la vulnérabilité pour la première fois ce mois-ci et ont rapidement rapporté leurs résultats à ThemeGrill. La société a depuis publié une nouvelle version de ThemeGrill Demo Importer qui corrige le bogue.

Cependant, au moment de la rédaction, la dernière version du plugin, la version 1.6.3, a été installée plus de 100 000 fois, ce qui signifie que de nombreux utilisateurs n'ont pas encore mis à jour leurs sites. Si le plug-in ThemeGrill Demo Importer est installé sur votre site, il est fortement recommandé de le mettre à jour immédiatement pour éviter d'être victime d'attaques exploitant la vulnérabilité présente dans les versions antérieures.

Via ZDNet

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES