AccueilActualités InformatiqueAttention : 600 000 sites WordPress exposés aux attaques à cause du bug du plugin WP Fastest Cache
Actualités Informatique

Attention : 600 000 sites WordPress exposés aux attaques à cause du bug du plugin WP Fastest Cache

Par Jean-Luc Pircard , le novembre 15, 2023 — Wordpress - 3 minutes de lecture
Notez-moi

 

Le bug du plugin WP Fastest Cache expose 600 000 sites WordPress à des attaques

Le plugin WordPress WP Fastest Cache est vulnérable à une vulnérabilité d’injection SQL qui pourrait permettre à des attaquants non authentifiés de lire le contenu de la base de données du site.

Un plugin populaire exposant des sites WordPress

WP Fastest Cache est un plugin de mise en cache utilisé pour accélérer le chargement des pages, améliorer l’expérience des visiteurs et améliorer le classement du site dans la recherche Google. Selon les statistiques de WordPress.org, il est utilisé par plus d’un million de sites.

Cependant, les statistiques de téléchargement de WordPress.org montrent que plus de 600 000 sites Web exécutent encore une version vulnérable du plugin et sont exposés à des attaques potentielles.

Une vulnérabilité d’injection SQL critique

Aujourd’hui, l’équipe WPScan d’Automattic a divulgué les détails d’une vulnérabilité d’injection SQL, identifiée comme CVE-2023-6063 et avec un score de gravité élevé de 8,6, affectant toutes les versions du plugin antérieures à la 1.2.2.

Les vulnérabilités d’injection SQL se produisent lorsque le logiciel accepte une entrée qui manipule directement les requêtes SQL, conduisant à l’exécution de code SQL arbitraire qui récupère des informations privées ou à l’exécution de commandes.

Dans ce cas, la faille impacte la fonction ‘is_user_admin’ de la classe ‘WpFastestCacheCreateCache’ au sein du plugin WP Fastest Cache, qui a pour but de vérifier si un utilisateur est administrateur en extrayant la valeur ‘$username’ des cookies.

A LIRE  Découvrez le logiciel malveillant révolutionnaire qui vole vos identifiants d'images sur Android !

Une faille exploitable

Étant donné que l’entrée « $username » n’est pas nettoyée, un attaquant peut manipuler la valeur de ce cookie pour modifier la requête SQL exécutée par le plugin, conduisant à un accès non autorisé à la base de données.

Les bases de données WordPress incluent généralement des informations sensibles telles que les données utilisateur (adresses IP, e-mails, identifiants), les mots de passe des comptes, les paramètres de configuration des plugins et des thèmes, ainsi que d’autres données nécessaires aux fonctions du site.

Un correctif disponible

Un correctif a été mis à disposition par le développeur WP Fastest Cache dans la version 1.2.2, publiée hier. Il est recommandé à tous les utilisateurs du plugin de mettre à niveau vers la dernière version dès que possible.

WPScan publiera un exploit de preuve de concept (PoC) pour CVE-2023-6063 le 27 novembre 2023, mais il convient de noter que la vulnérabilité n’est pas complexe et que les pirates peuvent trouver comment l’exploiter.

Conclusion

Il est essentiel pour les utilisateurs du plugin WP Fastest Cache de mettre à jour vers la dernière version afin de se protéger contre cette vulnérabilité d’injection SQL. En prenant les mesures appropriées, les sites WordPress peuvent éviter d’être exposés à des attaques potentielles et protéger les informations sensibles de leurs utilisateurs.

Source de notre information

  • Grohe Start Cube porte-serviettes 41089000 600mm. chrome
    Grohe Start Cube porte-serviettes 41089000 chrome Matériel: métal 600 mm (distance de perçage 558 mm) pièce jointe cachée Surface GROHE Long Life Convient pour le perçage (vis et chevilles incluses) ou le collage (veuillez commander la colle GROHE QuickGlue A2 41 128 000 séparément) Étonnamment facile à appliquer et tout à fait élégant ! Le GROHE Start Cube porte-serviettes est un accessoire moderne et pratique pour votre salle de bain qui est extrêmement facile à assembler. Il est fabriqué à partir des meilleurs matériaux et s'intègre parfaitement dans n'importe quelle salle de bain moderne. En raison de la fixation dissimulée et de la belle surface, il semble de très haute qualité. Le porte-serviettes a une longueur pratique de 600 mm (558 mm utilisables) et brille pendant de nombreuses années grâce au revêtement GROHE Long-Life Shine durable et facile à nettoyer. Et n'oubliez pas : l'installation est un jeu d'enfant. Il peut soit être vissé au mur avec les vis et chevilles fournies, soit simplement collé. Tout ce dont vous avez besoin est GROHE QuickGlue (deux tubes pour deux plaques de montage 41128000, vendues séparément). Dans notre QuickGuide et la QuickVideo, nous vous montrons à quel point l'installation est facile. Pour un concept global cohérent dans votre salle de bain, nous vous proposons également des accessoires adaptés tels que le set brosse WC, l'anneau porte-serviette, le crochet peignoir, le porte-papier toilette et le panier de douche d'angle. GROHE Start Cube – encore plus de style et de confort dans la salle de bain en un rien de temps.
    51,80 €
  • Grohe Start Cube porte-serviettes 41089DC0 600mm, Supersteel
    Grohe Start Cube porte-serviettes 41089DC0 Superacier Matériel: métal 600 mm (distance de perçage 558 mm) pièce jointe cachée Surface GROHE Long Life Convient pour le perçage (vis et chevilles incluses) ou le collage (veuillez commander la colle GROHE QuickGlue A2 41 128 000 séparément)
    72,53 €
  • Dm-folien Sac à soufflet, translucide, 1.000 litres
    En LPDE, dimensions: 700 + 600 x 2.200 mm,<br/><br/>épaisseur: 60 microns, pour les déchets en polystyrène<br/><br/>et film<br/><br/>contenu: 50 pièces en vrac dans un carton - Offre exclusivement réservée aux professionnels
    108,22 €
Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.