Une grave faille dans le plugin PageLayer menace des sites WordPress d'effacement
mar, 02/06/2020 - 12:59
Les chercheurs en sécurité de l'équipe Wordfence Threat Intelligence, ont découvert deux graves failles de sécurité dans le plugin PageLayer, un plugin utilisé par des centaines de milliers de sites sous WordPress.
La première faille permet à tout utilisateur authentifié disposant d'autorisations d'utilisateur inscrit de mettre à jour et de modifier des publications avec du contenu malveillant explique Wordfence. Modifier, et donc supprimer. Autrement dit une personne malveillante à la possibilité d'effacer tout le contenu du site.
L'autre faille permet de bidouiller une requête aboutissant à la modification des réglages du plugin, ce qui permet de réaliser des injections JavaScript malicieuses par la suite.
Les deux failles ont été signalées au développeur du plugin qui les a corrigées début mai. Néanmoins le billet de Wordfence souligne que les utilisateurs du plugin tardent à en faire la mise à jour.
Le billet donne également d'intéressants détails techniques relatifs à ces deux failles de sécurité.