Les chercheurs en cybersécurité ont aidé à corriger une faille de sécurité de haute gravité dans un plugin WordPress populaire, qui pourrait être exploitée pour supprimer et réinitialiser complètement tout site Web Wordpress vulnérable. Découverte par des experts en sécurité de Wordpress Wordfence, la vulnérabilité existe dans les plugins Hashthemes Demo Importer, qui comptent plus de 8,000 XNUMX installations actives et sont conçus pour aider les administrateurs à importer des démos de thèmes WordPress en un seul clic. Selon Ram Gall, ingénieur qualité et analyste des menaces de Wordfence, la faille donne à tout attaquant authentifié, même à l'utilisateur au niveau abonné disposant d'autorisations minimales, la possibilité de réinitialiser les sites WordPress en effaçant pratiquement toutes leurs bases de données, données téléchargées et médias.
mauvais contrôles
Selon Gall, la vulnérabilité existe parce que le plugin d'importation de démonstration Hashthemes défectueux n'a pas pu effectuer avec succès des vérifications de fonctionnalités pour bon nombre de ses actions AJAX. «Même si vous avez effectué une vérification occasionnelle, le nonce AJAX était visible dans le panneau d'administration pour tous les utilisateurs, y compris les utilisateurs à faible privilège comme les abonnés. La conséquence la plus grave était qu'un utilisateur au niveau abonné pouvait réinitialiser tout le contenu d'un site donné », a noté Gall. Il dit que si elle était exploitée, la faille rendrait un site Web exécutant le plugin vulnérable complètement irrécupérable, à moins bien sûr qu'il ne soit correctement sauvegardé par ses propriétaires. Gall note également qu'ils ont d'abord signalé le problème au développeur du plugin, qui n'a reçu aucune réponse. Ils en ont ensuite parlé à l’équipe du plugin WordPress, qui a temporairement supprimé le plugin de leur boutique. Cependant, bien que le développeur du plugin ait téléchargé une version corrigée quelques jours plus tard, Gall souligne que le journal des modifications de la nouvelle version ne mentionne pas le changement. Créez facilement un site Web avec ces meilleurs créateurs de sites Web Wordpress et utilisez l'un des meilleurs plugins de commerce électronique Wordpress pour créer une boutique en ligne sans trop d'effort.