Plus de 200 000 sites WordPress ont une sécurité moindre, ce qui les expose à des attaques ciblant le plugin Ultimate Member. C'est un service conçu pour permettre plus facilement aux utilisateurs d'ajouter des profils, de définir des rôles et de créer des répertoires de membres. Mais cela permet aux pirates d'ajouter de nouveaux comptes administratifs au groupe d'utilisateurs.
Repéré comme CVE-2023-3460 (score CVSS de 9,8), le défaut de sécurité récemment identifié dans Ultimate Member permet aux pirates d'ajouter un nouveau compte d'utilisateur au groupe des administrateurs. Il s'agit d'une falsification de requête intersite (CSRF).
Une faille CSRF signifie que le site ne fait pas la distinction entre les actions intentionnelles prises par l'utilisateur et les fausses demandes générées par un lien malveillant ou une demande de script. Cette faille CSRF permet aux attaquants de falsifier une requête au nom d'un administrateur et d'injecter du code sur un site vulnérable, ce qui permet aux attaquants potentiels d'exécuter à distance un code arbitraire sur des sites Web exécutant une installation vulnérable de Code Snippets.
Un bogue CSRF de haute sévérité permet aux attaquants de prendre le contrôle de sites WordPress utilisant une version non corrigée du plugin Code Snippets en raison de vérifications de référents manquantes dans le menu d'importation.
Certains utilisateurs du plugin ont observé la création de comptes voyous et les ont signalés récemment, mais les attaques semblent se poursuivre au moins depuis le début du mois de juin de cette année. WPScan, la société de sécurité de WordPress, affirme que le bogue trouve son origine dans un conflit entre la logique de la liste de blocage du plugin et les clés de métadonnées de WordPress.
Les pirates peuvent exploiter les différences opérationnelles entre le plugin et WordPress pour tromper Ultimate Member et l'amener à mettre à jour les clés de métadonnées.
Ces clés comprennent des données qui contiennent des informations sur le rôle et les capacités de l'utilisateur. WordPress a conseillé aux propriétaires de sites de désactiver le plugin problématique et de surveiller de près les comptes administratifs de leurs sites web. Bien que la bibliothèque de plugins WordPress ne fournisse pas de statistiques sur les téléchargements quotidiens, environ 58K utilisateurs ont téléchargé et installé la dernière version, ce qui signifie qu'au moins 140K sites Web WordPress utilisant ce plugin sont encore exposés à des attaques potentielles de prise de contrôle.
Il est conseillé aux propriétaires de sites qui pensent être exposés à un risque de désactiver Ultimate Member pour empêcher l'exploitation de la vulnérabilité. Ils devraient également vérifier tous les rôles d'administrateur sur leurs sites, afin d'identifier les comptes malhonnêtes.
WPScan : Cyware : Threatpost : Oodaloop : Hacker News : Security Week : Bleeping Computer : Techradar :
Tu pourrais aussi lire :
WordPress représente 90% des sites piratés:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuellement 5€ par mois ou 50€ par an. S'inscrire
- Comptes multi-utilisateurs, d'entreprise et de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
