La vulnérabilité XSS dans le plug-in WordPress Ivory Search risque plus de 60 000 sites

Une vulnérabilité XSS sérieuse existait dans le plugin de recherche WordPress Ivory Search. L’exploitation du bogue pourrait permettre à un adversaire d’exécuter du code malveillant sur le site Web cible. Compte tenu du nombre d’installations actives du plugin, cette vulnérabilité désormais corrigée risquait potentiellement plus de 60 000 sites Web.

Vulnérabilité du plug-in WordPress Ivory Search

Des chercheurs de l’équipe Astra Security Threat Intelligence ont découvert une vulnérabilité de script intersite (XSS) reflétée dans le plug-in WordPress Ivory Search. Les vulnérabilités XSS reflétées affectent les applications Web, permettant à un adversaire d’exécuter des codes malveillants côté client. Par exemple, un code malveillant peut s’exécuter lorsqu’un utilisateur visite la page Web infectée. Comme expliqué dans leur article, l’équipe dirigée par Jinson Varghese a trouvé un problème de validation incorrect avec le plugin. Expliquant le problème, Varghese a déclaré: Un composant particulier de la page des paramètres du plugin Ivory Search n’a pas été validé correctement, ce qui a permis l’exécution de code JavaScript malveillant. Les chercheurs l’ont qualifié de bogue de gravité moyenne permettant à un adversaire « d’effectuer des actions malveillantes » sur un site Web cible.

Patch déployé

L’équipe Astra Security a trouvé la vulnérabilité le 28 mars 2021, affectant le plugin Ivory Search version 4.6.0 et inférieure. Par conséquent, l’équipe a contacté les développeurs de plugins pour signaler le bogue le même jour. En réponse, l’équipe du plugin a agi rapidement pour remédier à la vulnérabilité et, le 30 mars 2021, ils ont publié le correctif avec la version 4.6.1. Ils ont également reconnu le correctif du bogue dans le journal des modifications indiqué sur la page du plugin. La version actuelle du plugin Ivory Search est la 4.6.2. Par conséquent, tous les utilisateurs de ce plugin doivent s’assurer de mettre à jour leurs sites Web avec la version 4.6.1 ou supérieure pour rester en sécurité. Récemment, plusieurs vulnérabilités XSS affectant le plugin Elementor ont également attiré l’attention. Ces bogues ont eu un impact encore plus grave compte tenu de leur grand nombre d’installations dans le monde (plus de 7 millions). Par conséquent, nous rappelons ici à tous les utilisateurs de WordPress de veiller également à résoudre ce problème lors de la mise à jour de leurs sites Web.

Tags: