Attention, administrateurs WordPress ! De nombreuses vulnérabilités de sécurité ont été découvertes dans le plugin WordPress ProfilePress qui pourraient permettre des prises de contrôle complètes du site !. les correctifs sont sortis, si cela est affecté, assurez-vous de mettre à jour votre site avec la dernière version du plugin.
Plusieurs vulnérabilités du plugin WordPress ProfilePress découvertes
Les chercheurs de l’équipe Wordfence ont partagé des détails sur les vulnérabilités du plugin ProfilePress WordPress dans leur récent article. Comme élaboré, ils ont découvert plusieurs problèmes de sécurité critiques dans ce plugin – anciennement connu sous le nom de WP User Avatar. Le plugin compte actuellement plus de 400 000 installations actives, ce qui signifie que les vulnérabilités mettent potentiellement en danger des milliers de sites Web. Plus précisément, les chercheurs ont découvert quatre vulnérabilités différentes, toutes recevant des cotes de gravité critique avec un score CVSS de 9,8. Ceux-ci incluent une faille d’élévation de privilèges non authentifiée (CVE-2021-34621), une élévation de privilèges authentifiée (CVE-2021-34622), un téléchargement de fichier arbitraire dans le composant de téléchargement d’images (CVE-2021-34623) et un téléchargement de fichier arbitraire dans composant de téléchargement de fichiers (CVE-2021-34624). L’exploitation de ces vulnérabilités pourrait permettre à un adversaire de télécharger des fichiers arbitraires sur des sites cibles, d’obtenir un accès administrateur et de prendre complètement le contrôle du site. Ces exploits fonctionneraient même si le site avait désactivé l’enregistrement des utilisateurs – cela aussi, sans nécessiter d’authentification.
Des correctifs déployés
Wordfence a trouvé que les versions 3.0 à 3.1.3 du plugin étaient vulnérables auxdits défauts. Suite à la découverte des bugs, les chercheurs ont contacté les développeurs pour signaler l’affaire. Par conséquent, les développeurs ont corrigé toutes les vulnérabilités avec la sortie du plugin version 3.1.4, comme en témoigne le changelog. Néanmoins, à la suite de cette version, les développeurs ont également publié d’autres correctifs avec les versions ultérieures. Par conséquent, le plus récent est le plugin ProfilePRess version 3.1.8. Par conséquent, tous les administrateurs WordPress exécutant ce plugin sur leurs sites doivent mettre à jour au plus tôt. Ceci est particulièrement important étant donné l’exploitation fréquente de plugins WordPress vulnérables pour cibler différents sites Web. Garder tous les plugins à jour est la stratégie clé pour repousser la plupart des cybermenaces contre les sites Web.