Les sites Web utilisant WordPress doivent supprimer ces 2 plugins

Selon The Hacker New , deux plugins WordPress, Malware Scanner et Web Application Firewall de miniOrage, sont vulnérables à une faille de sécurité grave, CVE-2024-2172, découverte par Stiofan, avec un score de gravité de 9,8 sur une échelle de 10 points du système de notation des vulnérabilités de sécurité CVSS.

Le bug a un impact important car même si le développeur l'a supprimé de l'App Store WordPress le 7 mars 2024, il peut toujours avoir un impact car Malware Scanner a été enregistré comme étant installé et actif sur jusqu'à 10 000 sites Web, alors qu'avec Web Application Firewall, il est de 300.

Wordfence a déclaré que la vulnérabilité était le résultat d'une vérification manquante dans le code du plugin, permettant à un attaquant non authentifié de mettre à jour arbitrairement le mot de passe de n'importe quel utilisateur et d'élever les privilèges à l'administrateur, conduisant potentiellement à une compromission complète du site Web.

Avec des droits administratifs, les pirates peuvent facilement télécharger des plugins supplémentaires, des fichiers zip malveillants contenant des portes dérobées et modifier les publications du site Web pour rediriger les utilisateurs vers d'autres sites Web malveillants.

Un plugin similaire, RegistrationMagic, avait déjà été signalé avec le code de bogue CVE-2024-1991 et un score CVSS de 8,8, ce qui constitue également une vulnérabilité d'élévation de privilèges de gravité élevée. Ce plugin a également été téléchargé et installé plus de 10 000 fois.

WordPress est un célèbre système de gestion de contenu (CMS) open source, largement utilisé dans le monde . Sa simplicité d'installation, de publication et de gestion de contenu en fait une plateforme idéale pour tous types de sites web, tels que les boutiques en ligne, les portails, les forums de discussion… Selon w3techs , ce CMS est actuellement choisi par 43,1 % des sites web dans le monde.