Les sites Web utilisant WordPress doivent supprimer ces 2 plugins

Selon The Hacker News , deux plugins WordPress, Malware Scanner et Web Application Firewall de miniOrage, sont confrontés à une grave faille de sécurité, CVE-2024-2172, découverte par Stiofan, avec un score de gravité de 9,8 sur le système de notation des vulnérabilités de sécurité CVSS.

Ce bug a un impact considérable car même si le développeur l'a retiré de l'App Store de WordPress le 7 mars 2024, il peut encore avoir un impact car Malware Scanner a été enregistré comme étant installé et actif sur près de 10 000 sites web, tandis que pour le pare-feu d'applications web, ce chiffre est de 300.

Wordfence a déclaré que la vulnérabilité était due à une vérification manquante dans le code du plugin, permettant à un attaquant non authentifié de modifier arbitrairement le mot de passe de n'importe quel utilisateur et d'obtenir des privilèges d'administrateur, ce qui pourrait compromettre totalement le site web.

Grâce à leurs droits d'administrateur, les pirates informatiques peuvent facilement télécharger des plugins supplémentaires, des fichiers zip malveillants contenant des portes dérobées et modifier les articles du site Web pour rediriger les utilisateurs vers d'autres sites Web malveillants.

Auparavant, un plugin similaire, RegistrationMagic, avait été signalé sous le code de vulnérabilité CVE-2024-1991 et avec un score CVSS de 8,8, ce qui correspond également à une vulnérabilité d'élévation de privilèges critique. Ce plugin a été téléchargé et installé plus de 10 000 fois.

WordPress est un système de gestion de contenu (CMS) open source réputé et largement utilisé dans le monde . Sa facilité d'installation, de publication et de gestion de contenu en fait une plateforme idéale pour tous types de sites web, tels que les boutiques en ligne, les portails, les forums de discussion, etc. Selon w3techs , 43,1 % des sites web dans le monde utilisent actuellement ce CMS.