Plus de deux millions de sites web recourrant au plugin Advanced Custom Fields seraient vulnérables à une faille de type « cross site scripting » (XSS), rapporte The Register.
Ladite faille a été découverte le 2 mai par Rafie Muhammad, chercheur à Patchstack, et notifiée dans la foulée à Delicious Brains, l'éditeur du plugin, qui urge ses utilisateurs de déployer la dernière mise à jour (6.1.6).
« Cette vulnérabilité permet à tout utilisateur non authentifié [de voler] des informations sensibles ou, dans ce cas, de procéder à une escalade des privilèges sur le site WordPress en incitant l'utilisateur privilégié à visiter le chemin d'URL élaboré », précise Patchstack. La faille, répertoriée sous le nom de CVE-2023-30777, est dotée d'un score CVSS de 6,1 sur 10 en termes de gravité.
Utilisé par 43,2 % de tous les sites web, selon W3Techs, Wordpress, qui fête ses 20 ans ce mois-ci, est devenu une cible d'autant plus privilégiée que nombre de ses utilisateurs ne sont pas des professionnels de l'informatique, et qu'il repose sur un écosystème de plugins maintenus par des tiers.
Patchstack estime que le nombre de vulnérabilités de WordPress signalées entre 2020 et 2021 a augmenté de 150 %, et que 29 % des plugins présentant des vulnérabilités critiques à l'époque n'ont pas été corrigés.
Commentaires (7)
La rançon du succès, devenez un support incontournable, devenez une passoire attaquée de toute part incontournable. Pire encore pour les plugins.
Perso je compte plus le nombre de tentatives et de tests d’URL wordpress dans les logs quand j’y jette un oeil.
Le truc le plus passoire que j’ai jamais vu en web, c’était Flash. Chaque semaine il y avait des mises à jour de sécurité. Chaque semaine, jusqu’à son éviction totale. Et ceci, pendant des années…
Wordpress is the new flash
Perso, ce que je comprends, c’est que Wordpress deviendra toujours meilleur en sécurité d’années en années grâce aux nombres de personnes qui essaient de l’attaquer et qui découvrent des failles. 2 millions de sites web vulnérables, mais si les webmasters font leur travail, ce sera aussi bientôt 2 millions de sites web patchés.
On peut critiquer Wordpress, et il y a de quoi sur bien des aspects, mais le CMS fait main par l’artisan du coin (ou une grosse boîte web) n’est pas forcément moins épargné par les failles. C’est juste qu’elles mettront plus de temps à être découvertes, et peut-être encore plus à être patchées si le développeur ne fait rien ou si les clients concernés ne sont plus sous maintenance…
A vrai dire le problème n’est pas Wordpress en lui même mais la galaxie de plugins plus ou moins bien écrits.
Et je peux te dire qu’on est très loin de faire le ménage à ce niveau.
L’avantage avec la petite solution “maison” correctement écrite c’est qu’elle va échapper aux scripts kiddys qui tests les failles WP, Joomla etc.
Si c’était aussi “ simple “.
Mon site tourne sur une vielle version de WP, je suppose que si je veut mettre à jours un plugin je vais forcément me retrouver par devoir mettre à jours wordpress et donc les autre plugins, puis mon thème.
Ce qui reviens plus ou moins à donc repartir de 0.
Heureusement, je n’utilise pas ce plugin.
La gestion de la dette technique est une activité chronophage, mais indispensable.