lundi, 4 mars 2024

WordPress touché par deux vulnérabilités de gravité critique

Selon le chercheur sur les dangers de Patchstack, Dave Jong, les deux vulnérabilités ont été trouvées et signalées au fournisseur du thème, ThemeForest, avec un défaut réparé dans la variante 2.6.4 (août 2022) et le autre dans la variante 2.7.2 (novembre 2022).

Indépendamment du calendrier des mises à jour de sécurité, un récent rapport de Patchstack a alerté que certains sites Web n’ont pas appliqué le spot, les laissant vulnérables aux attaques continues.

Vulnérabilités cruciales

Patchstack rapporte que le tout premier défaut Houzez, CVE-2023-26540, a un classement de gravité de 9,8 sur 10,0. Ce classement en fait une vulnérabilité vitale. La faille est une mauvaise configuration de la sécurité affectant la variante 2.7.1 du plug-in Houzez Theme et les versions antérieures, permettant aux adversaires d’effectuer une escalade des avantages à partir d’un autre emplacement sans nécessiter d’authentification. La variante qui résout le problème est Houzez Style 2.7.2 ou version ultérieure.

Le deuxième défaut a en fait obtenu l’identifiant CVE-2023-26009, également classé important (CVSS v3.1 : 9.8), et affecte le plugin Houzez Login Register. Cela affecte les versions 2.6.3 et antérieures, permettant aux opposants non authentifiés d’effectuer une escalade des avantages sur les sites utilisant le plugin.

La version qui traite du risque de sécurité est Houzez Login Register 2.6.4 ou ultérieure.

Comment les pirates utilisent les défauts

Les étoiles de la menace exploitent ces vulnérabilités en envoyant une requête au point de terminaison qui écoute les demandes de développement de compte. En raison d’un bogue de vérification de reconnaissance côté serveur, la demande peut être conçue pour développer un utilisateur administrateur sur le site, permettant aux ennemis de contrôler complètement le site Web WordPress. Dans les attaques, les stars du risque ont soumis une porte dérobée capable d’exécuter des commandes, d’injecter des publicités sur le site ou de rediriger le trafic vers des sites Web malveillants.

Considérant que les failles sont actuellement maltraitées, Patchstack souligne que les propriétaires de sites Web et les administrateurs doivent utiliser les correctifs proposés de toute urgence pour éviter d’être vulnérables aux attaques.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici