WordPress : 1 millions de sites affectés par une faille critique du plugin WP-Super-Cache
Français
Suivez-nous sur notre page Facebook et notre canal Telegram
On a découvert une faille critique dans le plugin WP-Super-Cache qui pourrait affecter près de 1 millions de sites sous WordPress. WP-Super-Cache est un plugin qui génère des fichiers HTML statiques pour le contenu dynamique de WordPress.
Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊
La faille en question est de type XSS Persistent qui permet aux pirates d’insérer du code malveillant dans les pages WordPress qui utilisent ce plugin. C’est la firme de sécurité Sucuri qui a découvert cette faille et tous les webmestres doivent mettre à jour vers WP-Super-Cache 1.4.4 qui corrige cette faille.
En utilisant cette faille, un pirate peut créer une requête pour insérer des scripts malveillants dans le fichier de la page qui est généré par le plugin. Etant donné que l’affichage de cette page nécessite une condition spécifique, un exploit ferait que le webmestre devrait vérifier manuellement dans cette section du site.
Et si le script peut s’executer, alors il pourrait effectuer des tâches telles que l’ajout d’un nouveau administrateur, l’injection de Backdoor dans les outils d’édition de WordPress, etc. La faille concerne à la manière dont WP-Super-Cache affiche l’information dans le fichier de cache. Dans les versions vulnérables du plugin, les données fournis par l’utilisateur étaient ajouté au contenu de la page alors qu’elles doivent être traité pour éviter tout exploitation malveillante.
Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊
effectivement je suis victime d’un piratage de mon site web le plugin super cache sur WordPress a fait preuve que ce petit plaisantin faisait l’envoi massif de mail avec mon nom de domaine…