WordPress : Découverte d’une faille qui permet de manipuler la base de données d’un site

606 0

En raison d’une faille dans le plug-in de référencement Yoast, plus d’un million de sites WordPress sont exposés à des attaques par injection SQL. Une mise à jour a été proposée pour pallier la situation, annonce le site « lemondeinformatique.fr ».

La sécurité des sites WordPress vient encore d’être mise à rude épreuve. Après la découverte du malware « SoakSoak » en décembre 2014 qui a infecté près de 100.000 sites WordPress, une autre vulnérabilité a été découverte risquant de mettre en péril un nombre important de sites web.

Ainsi, plus d’un million de sites WordPress utilisant le plug-in Yoast permettant d’optimiser le référencement dans les résultats des moteurs de recherches sont exposées à des attaques par injection SQL.

Le plug-in, développé par la société allemande Yoast, contient une vulnérabilité qui permet à des attaquants de manipuler la base de données d’un site et d’ajouter de faux comptes administrateurs. Cette vulnérabilité de type injection SQL a été découverte par le chercheur en sécurité Ryan Dewhurst, co-développeur du scanner de vulnérabilité WPScan qui a indiqué que :

« Comme il n’y a pas de protection anti Cross Site Request Forgery (un type d’attaque qui force un utilisateur à exécuter des actions non voulues), un attaquant distant non authentifié pourrait utiliser cette vulnérabilité pour exécuter des requêtes arbitraires sur le site WordPress de la victime en incitant un utilisateur administrateur, éditeur ou auteur à cliquer sur un lien pointant vers une page web que le pirate contrôle ».

Cette faille affecte les versions 1.7.3.3 et plus anciennes du plug-in de Yoast sur WordPress. L’éditeur a réagi et publié une nouvelle version, 1.7.4, corrigeant le problème. La version commerciale de ce plug-in a également été mise à jour.

Sa version gratuite aurait été téléchargée plus de 14,2 millions de fois. Selon des statistiques WordPress officielles, Yoast a été installé plus d’un million de fois, ce qui en fait l’un des plus populaires plug-ins sur WordPress.

Synthèse de Noufou KINDO

Burkina24



Rédaction B24

L'actualité du Burkina 24h/24.

Article similaire

Leave a comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *