Je souhaite obtenir des informations sur une formation complète concernant le thème DIVI dispensé
par un organisme de formation certifié par l’état.
Que la formation soit finançable par mon CPF (idéalement) ou autre


Le plugin WordPress défectueux expose 100000 sites Web à des attaques de prise de contrôle

Des vulnérabilités critiques et graves du plugin de menu réactif WordPress ont exposé plus de 100000 sites Web aux attaques de reprise découvertes par Wordfence.

Menu de réponse est un plugin WordPress qui permet aux administrateurs de créer des sites Web compatibles W3C et prêts pour les mobiles pour les sites Web responsables.

Correction d’un bug le mois dernier

Dans l’ensemble, l’équipe de Wordfence Threat Intelligence a découvert trois vulnérabilités que les attaquants disposant de droits d’utilisateur de base peuvent exploiter pour télécharger n’importe quel fichier et exécuter du code arbitraire à distance.

La première faille permet aux attaquants authentifiés de télécharger des fichiers arbitraires, ce qui leur permet finalement d’exécuter du code à distance.

Les deux autres vulnérabilités permettent à un acteur de menace potentiel de forger des demandes de modification des paramètres de plug-in du plug-in, leur permettant ainsi de télécharger tous les fichiers permettant l’exécution de code à distance.

Pour exploiter la vulnérabilité critique, les attaquants connectés en tant qu’abonné ou autre utilisateur de bas niveau devraient télécharger des rubriques de menu archivées sous forme de fichiers ZIP et contenant des fichiers PHP malveillants.

Une fois l’archive extraite pour l’installation, l’attaquant peut accéder aux fichiers via le front-end du site afin d’exécuter le code malveillant à distance, ce qui peut à terme conduire à une prise de contrôle complète du site.

Fonction de téléchargement de thème de menu réactif sans vérification des compétences
Fonction de téléchargement de thème de buggy ((Wordfence)

ExpressTech, la société à l’origine de Responsive Menu, a résolu les problèmes de sécurité le 19 janvier 2021 après plusieurs tentatives de contact entre le 17 décembre et le 4 janvier.

Les demandes de rapport ont finalement reçu une réponse le 10 janvier après que Wordfence ait été transmis à l’équipe WordPress Plugins.

Étant donné que les problèmes de sécurité affectent les versions 4.0.0 à 4.0.3 de Responsive Menu (ou s’exécutent en mode hérité), il est conseillé aux utilisateurs de passer immédiatement à la version 4.0.4, qui corrige les bogues pour empêcher toute tentative d’exploitation.

« Les trois vulnérabilités peuvent conduire à une prise de contrôle d’un site Web, qui peut avoir des ramifications telles que des portes dérobées, des injections de spam, des redirections malveillantes et d’autres activités malveillantes », a déclaré Wordfence ajoutée.

Environ 50000 sites sont toujours exposés aux attaques

Bien que Responsive Menu 4.0.4, la version corrigée, soit sortie le 19 janvier, un peu plus de 50000 nouveaux téléchargements ont été enregistrés hier sur la base des statistiques disponibles dans le référentiel du plugin WordPress.

Étant donné que ces chiffres incluent à la fois les mises à jour et les nouvelles installations, près de 50000 sites WordPress utilisant le menu réactif peuvent toujours être détournés par des attaquants.

Wordfence a également rendu compte de deux CSRF critiques de haute gravité plus tôt cette semaine Vulnérabilités dans le plugin NextGen Gallery Cela permet aux pirates d’injecter des portes dérobées, de créer des administrateurs malveillants et potentiellement de prendre en charge plus de 530000 sites WordPress exécutant des versions non corrigées de plugins.

WordPress devrait installer les mises à jour de sécurité des plugins dès que possible après leur publication par les développeurs, car les acteurs de la menace exploitent souvent des vulnérabilités précédemment corrigées dans des plugins WordPress obsolètes dans leurs attaques.



Source link

Recent Posts