Theo Le pirate informatique Nouveau, deux plugins pour WordPress, Malware Scanner et Web Application Firewall de miniOrage, rencontrent une grave erreur de sécurité, CVE-2024-2172, découverte par Stiofan, avec un score d'erreur critique de 9,8 sur l'échelle de 10 points du système. notation.
L'erreur a un impact généralisé car même si le développeur a été supprimé de la boutique d'applications WordPress le 7.3.2024 mars 10.000, il peut toujours avoir un impact car Malware Scanner a enregistré des installations et des activités sur jusqu'à 300 XNUMX sites Web, tout en utilisant le pare-feu d'application Web. il est XNUMX.
Wordfence a déclaré que la vulnérabilité est le résultat d'un manque de vérifications dans le code du plugin, permettant à un attaquant non authentifié de mettre à jour arbitrairement le mot de passe de n'importe quel utilisateur et d'élever les privilèges aux membres administrateurs, conduisant potentiellement à une compromission complète du site Web.
Lorsqu’ils disposent de droits d’administrateur, les pirates peuvent facilement télécharger des plugins supplémentaires, des fichiers zip malveillants contenant des portes dérobées et modifier les publications de sites Web pour rediriger les utilisateurs vers d’autres sites Web malveillants.
Auparavant, un plugin similaire, RegistrationMagic, avait été signalé avec le code d'erreur CVE-2024-1991 et le score CVSS 8.8, qui constitue également une vulnérabilité d'élévation de privilèges de haute gravité. Ce plugin a également été téléchargé et installé plus de 10.000 XNUMX fois.
WordPress est un célèbre système de gestion de contenu (CMS) open source, largement utilisé dans le monde entier. La facilité d'installation, de publication et de gestion du contenu sur cette plateforme CMS fait de WordPress la plateforme idéale pour tous types de sites internet tels que les boutiques en ligne, les portails d'informations, les forums de discussion... Selon w3techs, cette plateforme CMS est actuellement choisie par 43,1% des sites web dans le monde.