Une grave faille de sécurité XSS existait dans le plugin de recherche WordPress Ivory Search. En exploitant la faille, un adversaire peut exécuter un code malveillant sur le site Web cible. Compte tenu du nombre d’installations actives du plug-in, cette vulnérabilité désormais corrigée pourrait potentiellement mettre en danger plus de 60 000 sites Web.

Vulnérabilité dans le plugin de recherche WordPress Ivory

Des chercheurs de l’équipe Astra Security Threat Intelligence ont découvert scripts intersites réfléchissants (XSS) Vulnérabilité dans le plugin WordPress Ivory Search.

Les vulnérabilités XSS reflétées affectent les applications Web, permettant à un adversaire d’exécuter du code malveillant côté client. Par exemple, un code malveillant peut être exécuté lorsqu’un utilisateur visite le site Web infecté.

Comme travaillé dans le sien bureau de posteL’équipe dirigée par Jinson Varghese a détecté un problème de validation incorrect avec le plugin. Varghese a expliqué le problème en déclarant:

Un composant spécifique de la page des paramètres du plugin Ivory Search a été mal validé, ce qui a permis à un code JavaScript malveillant de s’exécuter.

Les chercheurs l’ont identifié comme un bogue de gravité moyenne qui permet à un adversaire de mener des «actions malveillantes» sur un site Web ciblé.

Patch fourni

L’équipe Astra Security a identifié la vulnérabilité le 28 mars 2021 affectant le plug-in Ivory Search version 4.6.0 ou ultérieure.

En conséquence, l’équipe a contacté les développeurs de plugins pour signaler le bogue le même jour.

En réponse, l’équipe du plugin a agi rapidement pour résoudre la vulnérabilité et a publié la mise à jour de la version 4.6.1 le 30 mars 2021. Ils ont également confirmé le correctif dans le changelog spécifié sur la page du plugin.

La version actuelle du plugin Ivory Search est la 4.6.2. Par conséquent, tous les utilisateurs de ce plugin doivent s’assurer que leurs sites Web sont mis à jour avec la version 4.6.1 ou supérieure pour assurer la sécurité.

Récemment plusieurs XSS Vulnérabilités affectant le plugin Elementor attire également l’attention. Ces erreurs ont eu un impact encore plus grave en raison de leur grand nombre d’installations dans le monde (plus de 7 millions). Nous rappelons donc ici à tous les utilisateurs de WordPress de résoudre ce problème lors de la mise à jour de leurs sites Web.



Source link

Recent Posts