WordPress : vulnérabilité critique dans un plug-in, une mise à jour est nécessaire

Une version encore utilisée d'un plug-in du CMS open source, patché discrètement il y a quelques mois, présente une vulnérabilité critique qui est exploitée depuis quelques jours, alertent des spécialistes de la sécurité.

Deux entreprises de sécurité informatique alertent les utilisateurs d'un plug-in de WordPress pour la présentation de slides, Slider Revolution, à propos d'une vulnérabilité critique et exploitée par des pirates. La version 4.2 de ce module d'extension a discrètement fait l'objet d'un correctif, mais il y a encore des utilisateurs des versions 4.1.4 ou précédentes du plug-in.

L'avertissement est lancé par Sucuri, une entreprise qui a entre autres signalé en avril 2010 l'"infection massive" de blogs sous WordPress hébergés chez Network Solutions, lequel a ensuite réparé sans commentaire.

Compromission possible de tout le site

Cette fois, Sucuri indique que la vulnérabilité dans ce plug-in "très populaire" qu'est Slider Revolution a été "divulguée sur quelques forums underground".

Mercredi, Trustwave a également sonné l'alarme via Twitter. Cette autre spécialiste de la sécurité informatique précise que la vulnérabilité était discutée dans plusieurs forums mais que ce n'est que quand des sites web plus grand public ont publié des données que "nous avons vu des attaquants commencer à scanner à la recherche de sites vulnérables".

Nos confrères du Monde informatique observent que "la vulnérabilité peut être exploitée pour exécuter une attaque dite par inclusion de fichier local (LFI), laquelle permet aux pirates d'accéder au fichier wp-config.php du site sous WordPress", fichier sensible contenant des informations d'identification qui "peuvent être utilisées pour compromettre l'ensemble du site", selon les experts de Sucuri.

En août, WordPress ainsi qu'un autre système de publication également en logiciel libre, Drupal, avaient publié des mises à jour pour combler des failles de sécurité importantes.

Selon les statistiques de Builtwith, WordPress a une part de marché de 47,71% sur le premier million des plus gros sites web utilisant des CMS.

Source: zdnet

Comments

[logiciel centre d'appels]

Wordpress est vraiment un plugin très pratique pour créer son site web, ou son blog. Il s'agit même du plugin qui est le plus utilisé dans sa catégorie. Ainsi, cette présence de vulnérabilité est un cas très alarmant, qui devrait être résolue très vite!