La vulnérabilité du plugin WordPress Google Fonts affecte jusqu'à +300 000 sites

Une vulnérabilité classée élevée a été récemment corrigée dans un plugin d'optimisation Google Fonts pour WordPress, permettant aux attaquants de supprimer des répertoires entiers et de télécharger des scripts malveillants.

Plugin WordPress conforme au RGPD/DSGVO

Conforme au RGPD/DSGVO, polices Google plus rapides. Easy. optimise l'utilisation de Google Fonts pour réduire l'impact sur la vitesse des pages et est également conforme au RGPD, ce qui le rend précieux pour les utilisateurs de l'Union européenne souhaitant mettre en œuvre Google Fonts.

Capture d'écran de l'évaluation de la vulnérabilité de Wordfence

Vulnérabilité

La vulnérabilité est particulièrement préoccupante car elle autorise des attaquants non authentifiés. « Non authentifié » signifie qu'un attaquant n'a pas besoin d'être enregistré sur le site Web ni de disposer d'un quelconque niveau d'informations d'identification. La vulnérabilité est décrite comme permettant la suppression de répertoires non authentifiés et le téléchargement de charges utiles Cross-Site Scripting (XSS). Le Cross-Site Scripting (XSS) est un type d'attaque dans lequel un script malveillant est téléchargé sur un serveur de site Web, qui peut ensuite être utilisé pour attaquer à distance les navigateurs de n'importe quel visiteur. Cela peut entraîner l'accès aux cookies ou aux informations de session d'un utilisateur, permettant à l'attaquant d'assumer le niveau de privilège de cet utilisateur visitant le site. La cause de la vulnérabilité, identifiée par les chercheurs de Wordfence, est l'absence de contrôle de capacité – une fonctionnalité de sécurité qui vérifie si un utilisateur a accès à une fonctionnalité spécifique d'un plugin, dans ce cas, une fonctionnalité de niveau administrateur.

Une page officielle des développeurs WordPress destinée aux créateurs de plugins dit ceci à propos de la vérification des capacités  :

Conforme au RGPD/DSGVO, polices Google plus rapides. Facile.

Tags: