Certains articles de veille peuvent faire l'objet de traduction automatique.
Attention, administrateurs WordPress ! Les chercheurs ont découvert une vulnérabilité zero-day dans le plugin Ultimate Member WordPress, que les pirates exploitent pour obtenir des privilèges élevés sur les sites Web cibles. Jusqu’à l’arrivée du correctif, la désinstallation du plug-in est la seule option viable pour protéger vos sites Web.
Ultimate Member Plugin Zero-Day activement exploité
Selon un récent poste de Wordfence, un grave problème de sécurité affecte le plugin Ultimate Member que les pirates criminels ont commencé à exploiter pour cibler les sites Web.
Ultimate Member est un plugin WordPress dédié offrant un profil utilisateur et des fonctionnalités d’adhésion pour les sites Web. Le plugin facilite la création de profils accrocheurs et de communautés en ligne avec des inscriptions rapides.
Actuellement, la page WordPress officielle du plugin compte plus de 200 000 installations actives. Bien que cela indique l’utilité du plugin et sa popularité ultérieure, cela suggère également comment toute vulnérabilité de ce plugin peut avoir un impact direct sur des milliers de sites Web dans le monde.
Une telle vulnérabilité de gravité critique a récemment attiré l’attention de l’équipe Wordfence. Comme observé, ils ont remarqué une vulnérabilité d’escalade de privilèges (CVE-2023-3460 ; CVSS 9.8) qui permettait les inscriptions d’administrateurs malveillants.
Plus précisément, la faille existait parce que le plug-in utilisait une liste prédéfinie de méta-clés utilisateur interdites qu’un adversaire peut contourner en ajoutant des barres obliques à la méta-clé utilisateur. Un attaquant non authentifié peut définir le wp_capabilities
méta-valeur de l’utilisateur à « administrateur » pour obtenir un accès administrateur au site Web.
L’équipe de Wordfence a observé de nombreux cas d’exploitation active de cette vulnérabilité, où les attaquants ont créé des comptes malveillants avec les noms d’utilisateur « wpenginer », « wpadmins », « wpengine_backup », « se_brutal » et « segs_brutal ». Les chercheurs ont également partagé les indicateurs de compromission dans leur article.
Patch toujours en attente d’arriver malgré les efforts
Suite à la découverte du bogue et à la détection de l’exploitation, les développeurs du plugin ont commencé à travailler sur la correction de la faille. Cependant, leurs efforts ont apparemment été infructueux, car la vulnérabilité affecte même la dernière version 2.6.6.
Selon les développeurs, l’équipe travaille à la correction de la vulnérabilité depuis Ultimate Member version 2.6.3. Les versions suivantes (2.6.4, 2.6.5 et 2.6.6) visaient également à « fermer partiellement » la faille. Cependant, ils travaillent toujours à résoudre complètement le problème, ce qui signifie que la vulnérabilité menace toujours tous les sites Web.
Par conséquent, jusqu’à l’arrivée d’un correctif, la seule solution de contournement pour protéger les sites Web contre les attaques potentielles consiste à désactiver/désinstaller le plug-in. En outre, les développeurs de plugins exhortent les utilisateurs à continuer à vérifier les mises à jour.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire