Une vulnérabilité de contournement d’authentification dans un Plugin WordPress permet aux attaquants de prendre le contrôle total de WordPress-alimenté sites de commerce électronique, ont révélé des chercheurs.
Les Wordfence L’équipe Threat Intelligence a découvert la vulnérabilité dans le Booster pour Extension WordPress WooCommerce, qui compte une base d’utilisateurs de plus de 100 000 sites Web.
Le plugin Booster offre plus de 100 fonctionnalités disponibles dans le plugin WooCommerce qui aide à configurer des magasins de commerce électronique sur Installations WordPress.
“Cette faille permettait à un attaquant de se connecter en tant qu’utilisateur, tant que certaines options étaient activées dans le plugin”, écrit Chloe Chamberland de Wordfence.
Forger des identités
Avec un score CVSS de 9,8, Chamberland explique que la vulnérabilité existait dans le plugin vérification de l’E-mail module. Le module demande aux utilisateurs de vérifier leur e-mail après leur inscription sur le site.
Cependant, le module n’a pas effectué les contrôles de sécurité nécessaires, permettant aux attaquants d’envoyer une fausse demande de vérification en tant qu’utilisateur et de pouvoir essentiellement se connecter avec la fausse identité.
« En tant que tel, un attaquant pourrait exploiter cette vulnérabilité pour obtenir un accès administratif sur des sites exécutant une version vulnérable du plug-in et s’emparer efficacement du site », explique Chamberland.
Une version corrigée du plug-in a déjà été publiée et Wordfence exhorte les utilisateurs du plug-in à passer sans tarder à la dernière version.
— to www.techradar.com
Jeu de briques
Snake
Pacman
Bubble