Attention, administrateurs de WordPress ! Il est temps de mettre à jour tes sites web avec la dernière version du Plugin Beautiful Cookie Consent Banner, car les développeurs ont corrigé une grave faille de cross-site scripting (XSS).
Une grave faille de sécurité corrigée dans le plugin Beautiful Cookie Consent Banner
Les chercheurs de l'équipe Wordfence ont trouvé une grave vulnérabilité de script intersite dans le plugin WordPress de gestion des cookies. Selon leur billet, l'exploitation du plugin pourrait permettre à un adversaire de créer des redirections malveillantes à partir de sites Web cibles et d'ajouter des comptes d'administrateurs malhonnêtes.
Plus précisément, la faille XSS affectait le paramètre nsc_bar_content_href de la bannière de consentement Beautiful Cookie, versions 2.10.1 et antérieures. La vulnérabilité existait en raison d'une sanitization d'entrée et d'un échappement de sortie insuffisants, permettant des injections de scripts malveillants sur les pages web cibles.
En conséquence, les scripts redirigeaient les visiteurs vers des pages web malveillantes, nuisant simultanément à la sécurité des visiteurs et à la crédibilité du site.
Publication d'un correctif pour la vulnérabilité attaquée
Selon Wordfence, cette vulnérabilité a malheureusement attiré l'attention des adversaires avant de recevoir un correctif. Les chercheurs ont remarqué la campagne malveillante exploitant la faille lorsque le pare-feu de Wordfence a bloqué environ 3 millions d'attaques contre 1,5 million de sites depuis mai 2023. Le schéma d'attaque suggère la présence d'un seul acteur de la menace qui dirige la campagne. Cependant, les chercheurs n'ont pas pu identifier l'attaquant exact qui se cache derrière.
Néanmoins, après avoir détecté le problème, les chercheurs l'ont signalé aux développeurs du plugin, qui ont ensuite publié le correctif complet avec la version 2.10.2 du plugin. Wordfence a attribué à cette vulnérabilité zero-day une note de haute sévérité avec un score CVSS de 7,2.
La page officielle du plugin WordPress s'enorgueillit de plus de 40 000 installations actives, ce qui laisse supposer que les versions vulnérables du plugin mettent en péril des milliers de sites Web dans le monde. Il est donc essentiel que les administrateurs de WordPress veillent à mettre à jour leurs sites avec les dernières versions du plugin pour éviter de subir des attaques malveillantes.
Le journal des modifications du plugin indique que la version actuelle du plugin est 2.13.0. L'idéal serait donc que les administrateurs de sites mettent à jour leurs sites Web avec cette version pour recevoir toutes les corrections de bogues des développeurs.
Fais-nous part de tes réflexions dans les commentaires.
