Plus d'un million de sites WordPress menacés par une vulnérabilité

Par:
fredericmazue

mar, 16/05/2023 - 15:36

Lu sur le blog de la société de sécurité PatchStack. Le plugin Essential Addons for Elementor, qui compte plus d'un million d'installation actives,comporte une grave vulnérabilité dans toutes ses versions de 5.4.0 à 5.7.1 incluses.

La vulnérabilité permet une escalade de privilèges à tout utilisateur non authentifié sur le site attaqué. Il est ainsi possible de réinitialiser le mot de passe de n'importe quel utilisateur dont le nom est connu, ce qui permet de réinitialiser le mot de passe de l'administrateur et de se connecter à son compte. Cette vulnérabilité se produit car cette fonction de réinitialisation de mot de passe ne valide pas une clé de réinitialisation de mot de passe et modifie directement le mot de passe de l'utilisateur donné. La vulnérabilité décrite a été corrigée dans la version 5.7.2. La vulnérabilité est référencée CVE-2023-32243.

La vulnérabilité est décrite techniquement en détails dans le billet mentionné ci-dessus. Tous les administrateurs de sites WordPress qui utilisent ce plugin doivent mettre à jour d'urgence vers la version 5.7.2.

Commentaires

Les propriétaires des sites WordPress doivent comprendre que les mises à jour des plugins  est essentiel pour garantir la sécurité du site, prévenir les vulnérabilités et les cyberattaques. Les mises à jour corrigent les bugs, améliorent les performances et assurent la compatibilité avec les dernières versions de WordPress, offrant ainsi une expérience utilisateur fluide et optimale. Je suis un passionné de Wordpress et j'ai rédigé un blog parlant uniquement sur WordPress avec beaucoup d'informations recherchées : https://hebergement-wordpress-maroc.com/