Les sites web utilisant WordPress doivent supprimer ces deux plugins.

Selon The Hacker News , deux plugins WordPress, Malware Scanner et Web Application Firewall de miniOrage, présentent une faille de sécurité critique, CVE-2024-2172, découverte par Stiofan, qui obtient un score de gravité de 9,8 sur 10 sur le système de notation des vulnérabilités CVSS.

Cette vulnérabilité a eu un impact considérable car, même si le développeur l'a retirée de l'App Store de WordPress le 7 mars 2024, elle pouvait encore causer des problèmes, Malware Scanner ayant été enregistré comme étant installé et actif sur près de 10 000 sites web, contre 300 pour le pare-feu d'applications web.

Wordfence a déclaré que cette vulnérabilité résultait d'un manque de contrôles dans le code du plugin, permettant à un attaquant de modifier arbitrairement le mot de passe de n'importe quel utilisateur et d'élever ses privilèges à ceux d'administrateur sans authentification, ce qui pouvait potentiellement compromettre totalement le site web.

Grâce à leurs privilèges d'administrateur, les pirates peuvent facilement télécharger des plugins supplémentaires, des fichiers zip malveillants contenant des portes dérobées et modifier les articles du site Web pour rediriger les utilisateurs vers d'autres sites Web malveillants.

Auparavant, un plugin similaire, RegistrationMagic, avait été signalé avec la vulnérabilité CVE-2024-1991 et un score CVSS de 8,8. Il s'agit également d'une faille de sécurité critique permettant une élévation de privilèges. Ce plugin a été téléchargé et installé plus de 10 000 fois.

WordPress est un système de gestion de contenu (CMS) open source très populaire et largement utilisé dans le monde entier . Sa facilité d'installation, de mise en ligne et de gestion du contenu en fait une plateforme idéale pour différents types de sites web, tels que les boutiques en ligne, les portails et les forums de discussion. Selon w3techs , 43,1 % des sites web dans le monde utilisent actuellement cette plateforme CMS.