Dans une autre vulnérabilité qui pourrait avoir de graves répercussions, des chercheurs en cybersécurité ont découvert un bug de cross-site scripting (XSS) dans le plugin NextScripts : Social Networks Auto-Poster pour WordPress. Le plugin est utilisé pour publier automatiquement des publications sur le site Web sur l'un des comptes de réseaux sociaux configurés de manière entièrement automatisée. Découverte par Ramuel Gall de Wordfence, la vulnérabilité du populaire plugin WordPress avec plus de 100.000 XNUMX installations a permis une attaque vigilante de scripts intersites. "Comme pour toutes les attaques XSS, le JavaScript malveillant exécuté dans une session d'administrateur pourrait être utilisé pour ajouter des utilisateurs administratifs malveillants ou insérer des portes dérobées dans un site et donc être utilisé pour le contrôle du site", note Gall.
rareté supraglobale
Tout en expliquant le bug, Gall souligne que la vulnérabilité XSS est due à une bizarrerie relativement obscure dans la façon dont PHP gère les variables superglobales. « Cela signifiait qu'il était possible d'exécuter JavaScript dans le navigateur d'un administrateur connecté en le pressant de visiter un formulaire de soumission automatique qui envoyait une requête POST à son site », explique Gall. La vulnérabilité a été divulguée au développeur du plugin en août et une mise à jour corrigée du plugin a été publiée début octobre. Wordfence suggère à tous les utilisateurs du plugin de mettre à jour sa dernière version pour éviter les abus sur leurs sites Web WordPress. Vous pouvez utiliser ces créateurs de sites Web WordPress pour rendre votre site Web opérationnel en un rien de temps, mais n'oubliez pas de les protéger avec ces plugins de sécurité WordPress.