Sélectionner une page


Des vulnérabilités critiques dans un plugin WordPress populaire semblent avoir exposé plus de 100 000 sites Web à des reprises de sites Web.

Détaillé Mercredi, la chercheuse en sécurité de Wordfence, Chloe Chamberland, a trouvé les vulnérabilités dans le Responsive Menu, un plugin qui offre des options de menu personnalisables et adaptées aux mobiles dans les installations WordPress.

La première vulnérabilité pourrait permettre à des attaquants authentifiés avec des privilèges de bas niveau de télécharger n’importe quel fichier et d’obtenir l’exécution de code à distance. Les deux autres vulnérabilités permettaient aux attaquants de forger des requêtes modifiant les paramètres du plugin et également de télécharger des fichiers pouvant conduire à l’exécution de code à distance. Les trois vulnérabilités, ainsi que la fourniture de capacités de prise de contrôle de site, pourraient également permettre à un attaquant d’installer des portes dérobées, des injections de spam, des redirections malveillantes et d’autres activités malveillantes.

Les vulnérabilités ont été découvertes le 17 décembre, mais les corriger par ExpressTech, le développeur de Responsive Menu, est devenu un défi. Après avoir reçu aucune réponse en décembre, les chercheurs de Wordfence ont de nouveau contacté les développeurs le 4 janvier sans réponse.

Incapables d’obtenir une réponse des développeurs du plugin, les chercheurs ont contacté l’équipe des plugins WordPress le 10 janvier et une réponse est arrivée le lendemain. Le plugin a été patché le 19 janvier.

C’est positif, mais l’équipe de Wordfence a constaté que de nombreux utilisateurs du plugin exécutent toujours l’ancienne version vulnérable du plugin. «Nous encourageons les utilisateurs à mettre immédiatement à jour la dernière version disponible, qui est la 4.0.4 au moment de la rédaction de cet article», déclarent les chercheurs.

Malheureusement, les plugins WordPress avec des vulnérabilités sont courants. Ameet Naik, évangéliste de la sécurité au sein de l’entreprise de protection des applications PerimeterX Inc., a déclaré SiliconANGLE qu’il ne s’agit que de l’un des nombreux plugins qui sont des cibles lucratives pour les pirates déterminés à compromettre les sites Web de commerce électronique.

« Les plugins obsolètes ou vulnérables sont un moyen d’insérer du code shadow malveillant qui peut avoir un accès complet à un site Web WordPress », a déclaré Naik. « De telles techniques ont été utilisées pour lancer des attaques d’écrémage numérique et Magecart contre des milliers de sites Web de commerce électronique, entraînant le vol de millions de numéros de cartes de crédit. »

Les propriétaires de sites Web doivent vérifier minutieusement les plugins tiers et s’assurer qu’ils sont mis à jour vers les dernières versions, a ajouté Naik. Les consommateurs doivent continuer à protéger leurs renseignements personnels et à surveiller leur solvabilité pour détecter tout signe de fraude.

Image: menu de réaction

Puisque vous êtes ici …

Montrez votre soutien à notre mission avec notre abonnement en un clic à notre chaîne YouTube (ci-dessous). Plus nous avons d’abonnés, plus YouTube vous proposera du contenu commercial et technologique pertinent. Merci beaucoup!

Soutenez notre mission: >>>>>> INSCRIVEZ-VOUS MAINTENANT >>>>>> sur notre chaîne YouTube.

… Nous aimerions également vous parler de notre mission et de la manière dont vous pouvez nous aider à la remplir. Le modèle commercial de SiliconANGLE Media Inc. est basé sur la valeur intrinsèque du contenu et non sur la publicité. Contrairement à de nombreuses publications en ligne, nous n’avons pas de mur de paiement ou de bannières publicitaires car nous voulons garder notre journalisme ouvert sans influence ni besoin de suivre le trafic.Le journalisme, les reportages et les commentaires aussi SiliciumANGLE – ainsi que des vidéos en direct sans script de notre studio de la Silicon Valley et des équipes vidéo mondiales de Le cube – Prenez beaucoup de travail, de temps et d’argent. Afin de maintenir la qualité élevée, les sponsors doivent être soutenus qui correspondent à notre vision d’un contenu journalistique sans publicité.

Si vous appréciez la couverture, les interviews vidéo et tout autre contenu sans publicité ici, veuillez prendre un moment pour voir un exemple du contenu vidéo sponsorisé par nos sponsors. tweetez votre soutienet reviens sans cesse à SiliciumANGLE.





Source link

Recent Posts