Critical Zero-Day dans le plugin WordPress sous attaque active

Besoin d'améliorer votre visibilité?

Votre site internet ne décolle pas, ou vous souhaitez obtenir des conseils d'optimisation, notre expert vous répond gratuitement du lundi au samedi et de 9h à 19h:

Envoyer un message

Les chercheurs en sécurité ont mis en garde contre une nouvelle vulnérabilité critique du jour zéro dans un plugin WordPress activement exploité dans la nature.

Le plugin Fancy Product Designer est installé sur plus de 17 000 sites, permettant aux utilisateurs de télécharger des images et des fichiers PDF sur les produits, selon les experts du fournisseur de sécurité Wordfence.

« Nous avons pris contact avec le développeur du plugin le jour même et avons reçu une réponse dans les 24 heures. Nous avons envoyé la divulgation complète le jour même où nous avons reçu une réponse, le 01 juin 2021 », a expliqué l’analyste des menaces Ram Gall.

« En raison de l’attaque active de cette vulnérabilité, nous la divulguons publiquement avec un minimum de détails, même si elle n’a pas encore été corrigée, afin d’alerter la communauté de prendre des précautions pour protéger ses sites. »

La vulnérabilité de téléchargement de fichier a un score CVSS (Common Vulnerability Scoring System) de 9,8. Bien que le plug-in Fancy Product Designer dispose de certaines vérifications pour bloquer les téléchargements de fichiers malveillants, les attaquants peuvent facilement contourner les vérifications. En théorie, un attaquant pourrait télécharger des fichiers PHP exécutables sur n’importe quel site avec le plugin installé, a averti Gall.

« Cela permet effectivement à tout attaquant de réaliser l’exécution de code à distance sur un site impacté, permettant une prise de contrôle complète du site », a-t-il ajouté.

Wordfence a publié lundi une nouvelle règle pour son produit de pare-feu payant, avec des mises à jour ultérieures de sa version gratuite le 30 juin pour protéger les clients contre les attaques.

Cependant, les utilisateurs ont été invités à désinstaller le plugin pour le moment.

« Comme il s’agit d’un zero-day critique sous attaque active et qu’il est exploitable dans certaines configurations même si le plugin a été désactivé, nous exhortons toute personne utilisant ce plugin à désinstaller complètement Fancy Product Designer, si possible, jusqu’à ce qu’une version corrigée soit disponible », conclut Gall.


Article traduis depuis:
Source link