- La comparaison
- Tutoriels
- Mettez immédiatement à jour ce plugin WordPress populaire, préviennent des milliers d’utilisateurs
Correction de plusieurs vulnérabilités graves dans le populaire plugin WordPress NextGEN Gallery, qui dispose d'une base d'installation active de plus de 800.000 XNUMX utilisateurs. Comme l’a découvert l’équipe de sécurité de Wordfence Threat Intelligence, une version précédente du plugin de galerie d’images souffrait de deux vulnérabilités CSRF (cross-site request forgery), qui ouvraient la porte au piratage de sites Web. Les chercheurs ont classé la première vulnérabilité comme étant de haute gravité et la seconde comme critique, car elle pourrait être utilisée de manière abusive pour des attaques de type cross-site scripting (XSS) et d'exécution de code à distance (RCE).
Exploitation des plugins WordPress
Pour exploiter le plugin vulnérable, un attaquant devrait tromper l'administrateur WordPress pour qu'il lance un lien malveillant dans son navigateur Web, éventuellement via une attaque de phishing. En cas de succès, l’attaquant pourrait introduire des redirections malveillantes, des mécanismes de phishing et finalement faire ce qu’il veut avec le site Web compromis. "Cette attaque nécessiterait probablement un certain degré d'ingénierie sociale... De plus, l'exécution de ces actions nécessiterait deux requêtes distinctes, bien que cela soit simple à mettre en œuvre", a expliqué Wordfence dans un article de blog. Les développeurs de NextGEN Gallery ont publié un correctif pour les deux bugs en décembre, mais jusqu'à présent, seuls environ 300,000 500,000 utilisateurs ont installé la mise à jour nécessaire, ce qui signifie que plus de XNUMX XNUMX sites Web ne sont pas protégés. Il est recommandé à tous les utilisateurs du plugin NextGEN Gallery de mettre à jour immédiatement la dernière version pour se protéger contre les attaques. Via un ordinateur de secours