Plus de deux millions de sites web recourrant au plugin Advanced Custom Fields seraient vulnérables à une faille de type « cross site scripting » (XSS), rapporte The Register.
Cette faille a été découverte le 2 mai par Rafie Muhammad, chercheur à Patchstack, et notifiée dans la foulée à Delicious Brains, l’éditeur du plugin, qui urge ses utilisateurs de déployer la dernière mise à jour (6.1.6).
« Cette vulnérabilité permet à tout utilisateur non authentifié [de voler] des informations sensibles ou, dans ce cas, de procéder à une escalade des privilèges sur le site WordPress en incitant l’utilisateur privilégié à visiter le chemin d’URL élaboré », précise Patchstack. La faille, répertoriée sous le nom de CVE-2023-30777, est dotée d’un score CVSS de 6,1 sur 10 en termes de gravité.
Utilisé par 43,2 % de tous les sites web (source W3Techs), WordPress, qui fête ses 20 ans ce mois-ci, est devenu une cible d’autant plus privilégiée que nombre de ses utilisateurs ne sont pas des professionnels de l’informatique, et qu’il repose sur un écosystème de plugins maintenus par des tiers.
Patchstack estime que le nombre de vulnérabilités de WordPress signalées entre 2020 et 2021 a augmenté de 150 %, et que 29 % des plugins présentant des vulnérabilités critiques à l’époque n’ont pas été corrigés.
Ci-dessous, les commentaires de Mellissa Bishop, Director, Endpoint Security Research chez Tanium, à propos de la dernière vulnérabilité sur WordPress :
” WordPress permet à presque tout le monde, qu’il s’agisse d’amateurs ou de professionnels, de créer rapidement un site web, mais cela comporte des risques. Étant donné que de nombreux plugins disponibles pour les sites WordPress sont développés par la communauté, ils peuvent ne pas être vérifiés et mis à jour régulièrement. Les plugins eux-mêmes peuvent contenir des failles de sécurité et il est également facile de mal configurer les autorisations ou les paramètres de ces plugins, ce qui offre des possibilités supplémentaires d’exploitation.
Certains des plugins les plus populaires peuvent être présents dans des millions de sites web, ce qui constitue un champ d’action attractif pour un acteur malveillant. Si WordPress héberge les sites web, il ne gère pas individuellement la configuration et les mises à jour des plugins que vous, en tant que client, pouvez utiliser sur votre propre site. Si vous choisissez d’utiliser WordPress pour votre site web personnel ou professionnel, il est important de comprendre les risques et les implications, en termes de sécurité, de l’utilisation de certains de ces plugins tiers, et de s’informer afin de savoir quand vous devez patcher les plugins que vous avez installés.”