Alerte Sécurité : Un Plugin WordPress Met en Danger des Centaines de Milliers de Sites

Publié le 12 août 2023 par Kévin Mister Bazar @misterbazr

Le monde du web s’est réveillé avec une nouvelle alarmante : un plugin WordPress largement utilisé est source de vulnérabilité pour plus d’un million de sites internet à travers le globe. Les détails suivants révèlent l’ampleur du problème.

Le Coupable ? Essential Addons pour Elementor

Ce plugin populaire de WordPress, qui compte plus d’un million d’utilisateurs actifs, présente une grave faille de type “exécution de code à distance” (RCE). Cette lacune pourrait permettre à des acteurs malveillants de lancer une attaque d’inclusion de fichier local.

La découverte de cette faille revient au chercheur en cybersécurité Wai Yan Muo Thet, qui l’a identifiée le 25 janvier 2022 et a immédiatement alerté Patchstack.

Malheureusement, malgré la réactivité de WPDeveloper, l’entreprise à l’origine du plugin, deux tentatives pour résoudre le problème se sont avérées infructueuses.

Nature et Solution du Problème

Selon PatchStack, la vulnérabilité est due à la manière dont les données saisies par l’utilisateur sont traitées par la fonction “include” de PHP, spécifiquement dans les fonctions “ajax_load_more” et “ajax_eael_product_gallery”. La faille se manifeste lorsque les widgets “galerie dynamique” et “galerie de produits” sont activés.

WPDeveloper a réagi rapidement, et c’est la version 5.0.5 du plugin qui a finalement apporté un correctif efficace. Néanmoins, environ 600 000 sites n’ont pas encore effectué la mise à jour et restent donc exposés.

Si vous utilisez Essential Addons pour Elementor, il est crucial de mettre à jour le plugin en téléchargeant la dernière version ou directement depuis le tableau de bord WordPress.

Les Plugins WordPress : Des Cibles de choix

Ce n’est malheureusement pas la première fois qu’un plugin WordPress est la cible d’attaques. Fin 2021, plusieurs plugins populaires ont présenté des failles significatives, soulignant l’importance de la vigilance.

Heureusement, la plupart des propriétaires de plugins réagissent rapidement lorsqu’une vulnérabilité est signalée. Cependant, le dernier mot revient aux administrateurs de sites : il est impératif de garder tous les plugins constamment à jour pour minimiser les risques.

Conclusion

Dans l’écosystème digital actuel, la sécurité est primordiale. Les plugins peuvent offrir de fantastiques fonctionnalités, mais ils peuvent aussi être la porte d’entrée pour des cyberattaques. Restez vigilant, mettez régulièrement à jour vos outils et assurez-vous de suivre les meilleures pratiques de sécurité.

L’article Alerte Sécurité : Un Plugin WordPress Met en Danger des Centaines de Milliers de Sites est apparu en premier sur Mister Bazar te parle des Nouvelles Technologies.

L’article Alerte Sécurité : Un Plugin WordPress Met en Danger des Centaines de Milliers de Sites est apparu en premier sur Mister Bazar, le blog parlant de la culture geek.