Des milliers de sites WordPress affectés par la vulnérabilité des plugins

Une nouvelle vulnérabilité grave a été découverte dans un autre modèle WordPress. La faille permet l'injection de code sur les pages exécutant le plugin, ainsi que le phishing via des scripts intersites.

Il semble qu'aucun mois ne puisse se passer sans qu'une nouvelle vulnérabilité de plugin WordPress n'apparaisse. Janvier ne fait pas exception à cette règle, avec la toute nouvelle vulnérabilité découverte par les chercheurs dans WP HTML Mail - un plugin WordPress qui permet aux utilisateurs de concevoir des modèles de courrier électronique personnalisés.

La vulnérabilité permet l'injection de code

La vulnérabilité a été codifiée sous le désignateur CVE-2022-0218 et a été découverte à l'origine par Chloe Chamberlain, chercheuse chez Wordfence. Le score CVSS attribué à la faille est de 8,3, ce qui la place bien dans le territoire de « haute gravité ».

Le défaut du plugin WP HTML Mail réside dans sa mauvaise gestion des routes REST-API utilisées par le plugin de modèle de courrier. Le plugin n'inclut aucune étape d'authentification pour accéder au point de terminaison REST-API, selon Chamberlain. Cela permettrait à un attaquant potentiel d'accéder librement aux thèmes du modèle d'e-mail, y compris la possibilité d'injecter un JS malveillant qui s'exécuterait lorsque l'administrateur légitime ouvrirait la page de l'éditeur de courrier.

L'étendue de l'accès que la vulnérabilité permet est un peu effrayante. Un pirate informatique potentiel pourrait injecter du code de porte dérobée, créer de nouveaux utilisateurs disposant de privilèges d'administrateur, configurer des redirections de pages et même utiliser des modèles d'e-mails légitimes créés précédemment pour envoyer des e-mails de phishing en utilisant la marque et le nom du site de la victime.

Des milliers de sites Web doivent être mis à jour

Le rapport de sécurité sur la faille du plugin mentionne que le plugin WP HTML Mail est compatible avec d'autres plugins très populaires, notamment WooCommerce et Ninja Forms. Selon les estimations, le plugin vulnérable est installé sur environ 20 000 sites Web.

Il est conseillé aux propriétaires de toutes ces pages de s'assurer immédiatement qu'ils exécutent la dernière version mise à jour de WP HTML Mail, dont la vulnérabilité a été corrigée. Au moment de la rédaction, cette version est la 3.1.

Par Zaib
January 24, 2022
Computer Security
Français
January 24, 2022
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.