• Votre panier est vide.

  • LOGIN

XSS Flaw Riddled Beautiful Cookie Consent Banner WP Plugin


Certains articles de veille peuvent faire l'objet de traduction automatique.


Attention, administrateurs WordPress ! Il est temps de mettre à jour vos sites Web avec la dernière version du plug-in Beautiful Cookie Consent Banner, car les développeurs ont corrigé une grave faille de script intersite (XSS).

Grave faille de sécurité corrigée dans le magnifique plugin de bannière de consentement aux cookies

Des chercheurs de l’équipe Wordfence ont découvert une grave vulnérabilité de script intersite dans le plugin WordPress de gestion des cookies. Selon eux postel’exploitation du plug-in pourrait permettre à un adversaire de créer des redirections malveillantes à partir de sites Web cibles et d’ajouter des comptes d’administrateur malveillants.

Plus précisément, la faille XSS a affecté le paramètre nsc_bar_content_href des versions 2.10.1 et antérieures de Beautiful Cookie Consent Banner. La vulnérabilité existait en raison d’un nettoyage insuffisant des entrées et d’un échappement de sortie, permettant des injections de scripts malveillants sur les pages Web cibles.

Par conséquent, les scripts redirigeraient les visiteurs vers des pages Web malveillantes, nuisant simultanément à la sécurité des visiteurs et à la crédibilité du site.

Patch publié pour la vulnérabilité sous attaque

Selon Wordfence, cette vulnérabilité a malheureusement attiré l’attention des adversaires avant de recevoir un correctif. Les chercheurs ont remarqué que la campagne malveillante exploitait la faille lorsque le pare-feu Wordfence a bloqué environ 3 millions d’attaques contre 1,5 million de sites depuis mai 2023. Le schéma d’attaque suggère la présence d’un seul acteur menaçant qui dirige la campagne. Cependant, les chercheurs n’ont pas pu identifier l’attaquant exact derrière cela.

Néanmoins, après avoir détecté le problème, les chercheurs ont signalé le problème aux développeurs du plugin, qui ont ensuite publié le correctif complet avec la version 2.10.2 du plugin. Wordfence a attribué à cette vulnérabilité zero-day une cote de gravité élevée avec un score CVSS de 7,2.

Le page WordPress officielle du plugin compte plus de 40 000 installations actives, ce qui indique à quel point les versions de plugins vulnérables mettent en danger des milliers de sites Web dans le monde. Ainsi, il est essentiel pour les administrateurs WordPress d’assurer la mise à jour de leurs sites avec les dernières versions de plugins pour éviter de subir des attaques malveillantes.

Le plug-in journal des modifications affiche la version actuelle du plugin comme 2.13.0. Donc, idéalement, les administrateurs de site devraient mettre à jour leurs sites Web avec cette version pour recevoir toutes les corrections de bogues des développeurs.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

mai 31, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)