La vulnérabilité du plugin WordPress Autoptimize affecte +1 million de sites

Publié le 13 juin 2021 par Mycamer

Le plugin d’optimisation WordPress Autoptimize a récemment été mis à jour pour corriger une vulnérabilité XSS stockée. Les éditeurs qui utilisent le plugin sont invités à mettre à jour immédiatement pour réduire la possibilité d’une exposition à un événement de piratage.

Vulnérabilité XSS stockée

Une vulnérabilité XSS (Stored Cross-Site Scripting) se produit lorsque le logiciel présente une faille qui permet à un pirate informatique de télécharger un fichier malveillant qui peut ensuite attaquer quelqu’un d’autre qui visite le site.

Il existe différents types de vulnérabilités XSS stockées et il n’est pas clair de quel type il s’agit.

Cependant, selon l’endroit où le fichier malveillant est téléchargé, ce type de vulnérabilité peut être particulièrement problématique lorsqu’une personne disposant de privilèges de niveau administrateur visite le site et reçoit la charge utile, ce qui peut entraîner une prise de contrôle totale du site.

Publicité

Continuer la lecture ci-dessous

Selon le National Institute of Standards and Technology du gouvernement des États-Unis, un site Web du département du Commerce des États-Unis, voici comment un exploit de script intersite est défini :

« Une vulnérabilité qui permet aux attaquants d’injecter du code malveillant dans un site Web par ailleurs inoffensif.

Ces scripts acquièrent les autorisations des scripts générés par le site Web cible et peuvent donc compromettre la confidentialité et l’intégrité des transferts de données entre le site Web et le client.

Les sites Web sont vulnérables s’ils affichent des données fournies par l’utilisateur à partir de demandes ou de formulaires sans nettoyer les données afin qu’elles ne soient pas exécutables. “

C’est ce qu’on appelle une vulnérabilité XSS « stockée » car le fichier malveillant est stocké sur le site Web lui-même. Des différents types de XSS

Publicité

Continuer la lecture ci-dessous

Cote de vulnérabilité

Les vulnérabilités sont évaluées à l’aide d’une norme open source appelée Common Vulnerability Scoring System (CVSS). Un score de vulnérabilité est communément appelé en utilisant CVSS version 3.1.

C’est ainsi que la norme de vulnérabilité est décrit:

« Le Common Vulnerability Scoring System (CVSS) est un cadre ouvert permettant de communiquer les caractéristiques et la gravité des vulnérabilités logicielles. “

La vulnérabilité affectant Autoptimize est appelée vulnérabilité XSS Authenticated Stored, ce qui signifie qu’un pirate doit être connecté au site afin de tirer parti de la faille.

C’est peut-être une des raisons pour lesquelles le niveau de gravité de la La vulnérabilité du plugin WordPress Autoptimize a été classée comme moyenne, avec un score de 5,4 sur une échelle de 1 à 10.

Optimiser automatiquement le journal des modifications

Un journal des modifications est un journal de toutes les modifications apportées par un logiciel à chaque mise à jour. Il indique généralement une version, parfois la date de la version et les modifications contenues dans la mise à jour.

Selon le journal officiel des modifications Autoptimize, la dernière version est la 2.8.4 qui corrige la vulnérabilité.

« 2.8.4
correctif pour une vulnérabilité XSS authentifiée”

Bien qu’il s’agisse d’une vulnérabilité considérée comme moyenne, il est toujours recommandé à tous les éditeurs qui utilisent ce plugin de la mettre à jour immédiatement afin de rester en sécurité.

Citations

Documentation de la vulnérabilité Autoptimize sur le site de sécurité Patchstack

Journal officiel des modifications d’Autooptimize



— to www.searchenginejournal.com