Vulnérabilité XSS dans le plugin WordPress de réservation de restaurant ReDi

Une faille de sécurité sérieuse existait dans le plugin WordPress ReDi Restaurant Reservation. Plus précisément, les chercheurs ont découvert une vulnérabilité XSS dans le plugin qui permettait à un adversaire de voler des données client sensibles.

Vulnérabilité du plug-in de réservation de restaurant ReDi

la charge utile JavaScript est exécutée deux fois. Ainsi, un attaquant peut facilement voler la clé API du plugin et donc les données des clients. La vidéo suivante montre l’exploit.

Patch publié – Mettre à jour dès que possible

Après avoir découvert la vulnérabilité, le chercheur a contacté les développeurs qui ont ensuite élaboré un correctif. Le bogue affectait essentiellement les versions 20.0307 et antérieures du plugin. Par conséquent, les développeurs ont publié le correctif avec le plugin ReDi Restaurant Reservations version 21.0426. Ainsi, tous les utilisateurs doivent s’assurer de mettre à jour leurs sites avec la dernière version du plugin pour éviter d’éventuels exploits.