Un plugin de sauvegarde WordPress populaire avec plus de trois millions d'utilisateurs a récemment corrigé une vulnérabilité qui permettait aux acteurs de la menace d'accéder aux mots de passe, aux informations d'identification et à d'autres données sensibles.
Comme l'ont rapporté les analystes de sécurité de WordFence, le chercheur Marc Montpas a découvert une vulnérabilité dans UpdraftPlus, un plugin de sauvegarde, de restauration et de clonage pour WordPress.
UpdraftPlus a une fonctionnalité qui permet aux utilisateurs d'envoyer un lien de téléchargement de sauvegarde par e-mail à une adresse désignée par le propriétaire du site. Cependant, cette fonctionnalité a été mal implémentée, a découvert le chercheur, et permet à presque tout le monde, même les utilisateurs au niveau de l'abonnement, de créer un lien valide qui leur permettrait de télécharger des fichiers de sauvegarde.
Cependant, pour exploiter la vulnérabilité, l'attaquant aurait besoin d'avoir un compte actif sur le système cible, expliquent les chercheurs, concluant qu'une telle attaque doit être ciblée. Les conséquences potentielles sont décrites comme "sévères", c'est pourquoi les chercheurs exhortent tous les utilisateurs d'UpdraftPlus à mettre à jour leurs plugins immédiatement.
La version corrigée est la 1.22.3.
Les plugins WordPress présentent souvent des failles critiques qui pourraient permettre aux attaquants de prendre le contrôle total du site Web. Il y a quelques semaines à peine, un plugin WordPress populaire utilisé par plus d'un million de sites Web a été découvert comme présentant une faille critique d'exécution de code à distance (RCE).
Une autre vulnérabilité a également été récemment découverte dans le plugin "WordPress Email Template Designer - WP HTML Mail", qui permettait à un attaquant non authentifié d'injecter du JavaScript malveillant qui serait exécuté chaque fois qu'un administrateur du site accède à l'éditeur de modèles, alors que pour les besoins de À partir d'octobre En 2021, les chercheurs ont découvert une faille dans les plugins Hashthemes Demo Importer qui pourrait être exploitée pour effacer et réinitialiser complètement tous les sites Web WordPress vulnérables.
WordPress Email Template Designer : WP HTML Mail est utilisé par 20,000 8,000 sites Web, tandis que les plugins Hashthemes Demo Importer comptent plus de XNUMX XNUMX utilisateurs.