Les bogues dans le plugin WordPress permettent l'exécution de code à distance

Les sites Web exécutant WordPress et utilisant le plugin Frontend File Manager sont exposés à des attaques de pirates. Le plugin en question, qui se concentre sur le téléchargement et la gestion de fichiers tout en utilisant la plate-forme WP, présente un bogue de script inter-sites critique qui permet aux pirates d'injecter du JavaScript malveillant dans les pages et de créer leurs propres comptes de niveau administrateur.

Le bogue critique se trouve dans les versions 17.1 et 18.2 du plugin Frontend File Manager et est l'un des six bogues à haut risque dans ces deux versions. Le problème est, selon le rapport de Threatpost sur le problème, qu'il existe plus de deux mille sites Web qui exécutent les deux mêmes versions du plugin WP.

Les vulnérabilités critiques du plugin ont été annoncées publiquement le 12 juin et des correctifs ont déjà été mis à leur disposition.

En plus de donner la possibilité d'injecter du code JavaScript dans les pages du site exécutant WP et le plugin, les bogues ont également permis aux pirates de modifier ou simplement de supprimer des pages et des publications, d'élever les privilèges du compte et d'exécuter des attaques de script intersites, également appelées comme les attaques XSS. Ces découvertes ont été faites par des chercheurs en sécurité travaillant avec Ninja Technologies Network.

Le rapport de Ninja Technologies donne une ventilation détaillée de toutes les fonctions défectueuses utilisées dans le plugin et explique comment exactement celles-ci permettent aux mauvais acteurs d'injecter du code malveillant dans les pages ou d'élever les privilèges du compte et d'obtenir efficacement un accès et des privilèges administrateur.

Les bogues permettent également aux pirates d'ajouter PHP à la liste des fichiers autorisés à être téléchargés dans le plugin Frontend File Manager. Cela leur permet à leur tour de télécharger des scripts malveillants qui permettent l'exécution de code à distance.

Toute personne utilisant le plug-in Frontend File Manager sur son site Web WP devra immédiatement mettre à jour vers la version 18.3 du plug-in pour éviter tout problème éventuel et sécuriser sa configuration.

Les plugins WordPress sont connus pour avoir des vulnérabilités et des problèmes pouvant entraîner de graves problèmes pour les propriétaires de sites. Le plugin Frontend File Manager n'est pas le premier, et si l'historique des pistes d'autres plugins est quelque chose à suivre, ce ne sera probablement pas le dernier à avoir des bogues critiques. Les propriétaires de sites Web exécutant des plugins WordPress personnalisés doivent toujours être à la recherche de mises à jour pour ces plugins, afin de rester aussi sûrs que possible.

Par Zaib
July 13, 2021
Computer Security
Français
July 13, 2021
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.