La cyber-sécurité les chercheurs ont aidé à corriger une faille de sécurité dans un Plugin WordPress, qui pourrait être exploitée par des attaquants pour s’emparer d’un site Web.
Découvert par Sécurité WordPress experts Wordfence, la vulnérabilité existe dans le plugin “Preview E-mails for WooCommerce”, qui comme son nom l’indique est une extension pour le populaire Plugin WooCommerce, qui est couramment utilisé pour déployer rapidement et facilement un boutique en ligne au sein d’un existant site wordpress.
Le plugin « Aperçu des e-mails pour WooCommerce » donne aux propriétaires de sites la possibilité de prévisualiser les e-mails avant qu’ils ne soient envoyés aux clients via WooCommerce, et se vante d’une base d’installation de plus de 20 000 sites Web.
Entrée non cochée
Selon Chloe Chamberland, analyste des menaces de Wordfence, les attaquants pourraient exploiter la faille pour injecter des JavaScript dans une page qui s’exécuterait si l’attaquant réussissait à tromper l’administrateur d’un site pour qu’il effectue une action comme cliquer sur un lien.
Expliquant le fonctionnement de la vulnérabilité, suivie sous le nom CVE-2021-42363, elle dit qu’elle existait car un composant clé du plugin affecté n’a pas nettoyé l’entrée, donnant aux attaquants la possibilité d’injecter du code malveillant.
« Cela signifiait que si un attaquant parvenait à convaincre un administrateur de site de cliquer sur un lien, il pouvait faire exécuter JavaScript malveillant dans le navigateur de cet administrateur. Ce script pourrait être conçu pour injecter un nouvel utilisateur administratif ou même modifier un plugin ou un fichier de thème pour inclure une porte dérobée qui à son tour donnerait à l’attaquant la possibilité de prendre complètement le contrôle du site », explique Chamberland.
Techniquement connue sous le nom de vulnérabilité de script intersite reflété (XSS), Wordfence l’a portée à l’attention du développeur du plugin qui a publié un correctif pour y remédier en un peu plus d’une semaine.
Créez facilement un site Web avec ces meilleurs constructeurs de sites Web WordPress, et utilisez l’un des meilleurs plugins de commerce électronique WordPress construire une boutique en ligne sans trop d’effort
— to www.techradar.com