Attention : 600 000 sites WordPress exposés aux attaques à cause du bug du plugin WP Fastest Cache
Le bug du plugin WP Fastest Cache expose 600 000 sites WordPress à des attaques
Le plugin WordPress WP Fastest Cache est vulnérable à une vulnérabilité d’injection SQL qui pourrait permettre à des attaquants non authentifiés de lire le contenu de la base de données du site.
Sommaire
Un plugin populaire exposant des sites WordPress
WP Fastest Cache est un plugin de mise en cache utilisé pour accélérer le chargement des pages, améliorer l’expérience des visiteurs et améliorer le classement du site dans la recherche Google. Selon les statistiques de WordPress.org, il est utilisé par plus d’un million de sites.
Cependant, les statistiques de téléchargement de WordPress.org montrent que plus de 600 000 sites Web exécutent encore une version vulnérable du plugin et sont exposés à des attaques potentielles.
Une vulnérabilité d’injection SQL critique
Aujourd’hui, l’équipe WPScan d’Automattic a divulgué les détails d’une vulnérabilité d’injection SQL, identifiée comme CVE-2023-6063 et avec un score de gravité élevé de 8,6, affectant toutes les versions du plugin antérieures à la 1.2.2.
Les vulnérabilités d’injection SQL se produisent lorsque le logiciel accepte une entrée qui manipule directement les requêtes SQL, conduisant à l’exécution de code SQL arbitraire qui récupère des informations privées ou à l’exécution de commandes.
Dans ce cas, la faille impacte la fonction ‘is_user_admin’ de la classe ‘WpFastestCacheCreateCache’ au sein du plugin WP Fastest Cache, qui a pour but de vérifier si un utilisateur est administrateur en extrayant la valeur ‘$username’ des cookies.
Une faille exploitable
Étant donné que l’entrée « $username » n’est pas nettoyée, un attaquant peut manipuler la valeur de ce cookie pour modifier la requête SQL exécutée par le plugin, conduisant à un accès non autorisé à la base de données.
Les bases de données WordPress incluent généralement des informations sensibles telles que les données utilisateur (adresses IP, e-mails, identifiants), les mots de passe des comptes, les paramètres de configuration des plugins et des thèmes, ainsi que d’autres données nécessaires aux fonctions du site.
Un correctif disponible
Un correctif a été mis à disposition par le développeur WP Fastest Cache dans la version 1.2.2, publiée hier. Il est recommandé à tous les utilisateurs du plugin de mettre à niveau vers la dernière version dès que possible.
WPScan publiera un exploit de preuve de concept (PoC) pour CVE-2023-6063 le 27 novembre 2023, mais il convient de noter que la vulnérabilité n’est pas complexe et que les pirates peuvent trouver comment l’exploiter.
Conclusion
Il est essentiel pour les utilisateurs du plugin WP Fastest Cache de mettre à jour vers la dernière version afin de se protéger contre cette vulnérabilité d’injection SQL. En prenant les mesures appropriées, les sites WordPress peuvent éviter d’être exposés à des attaques potentielles et protéger les informations sensibles de leurs utilisateurs.
-
91460000MAC2NPT5XW Pour Kia Rio 2005-2012 Cache-poussière d'ampoule de phare étanche à la poussière Capuchon d'étanchéité de coque de phare arrière 921911G000 1PCSType d'article : cache-poussière. Nom de marque: gouhuo Origine:Chine continentale Le commerçant garantit que ses produits sont conformes à toutes les lois applicables et ne sont proposés que s'ils sont conformes aux politiques de Joom et aux lois européennes sur la sécurité et la conformité des produits. -
Qunol, curcuma liquide, extra fort, orange tropicale, 1 000 mg, 20,3 fl oz (600 ml)Description du produit: Complexe de curcuma et de curcumine Améliore une réponse inflammatoire saine † Améliore l'absorption Formule à base de plantes Idéal pour les personnes atteintes de diabète Complément Sans gluten Sans OGM † Peut aider à soulager l'inflammation temporaire causée par une activité physique excessive. Ce produit n’est pas destiné à traiter, prévenir ou guérir l’inflammation liée à une maladie. Utilisation du produit: Bien agiter avant de prendre. Prendre 1 comprimé (15 ml) par jour sans le mélanger avec du jus ou de l'eau froide ni le diluer. A conserver au réfrigérateur après ouverture. Ingrédients: Eau purifiée, érythritol, arôme naturel, acide citrique, extrait de fruit de moine, sorbate de potassium, benzoate de sodium. Fabriqué dans une usine qui traite des œufs, du blé, du lait, du soja, des noix, des arachides, du poisson, des mollusques et des crustacés. Produit dans une usine de transformation. Précautions: Ne pas congeler. Tenir hors de portée des enfants. Soyez prudent lors de la manipulation. Le curcuma peut laisser des taches. Si vous êtes enceinte ou si vous allaitez, consultez votre professionnel de la santé avant de prendre ce produit.. Conserver le récipient bien fermé lorsqu'il ne sert pas. Sceau de sécurité: Ne pas utiliser si le sceau de sécurité est endommagé ou manquant. Qunol, curcuma liquide, extra fort, orange tropicale, 1 000 mg, 20,3 fl oz (600 ml) -
TOMTOP JMS Housse étanche universelle pour générateur, en polyester 600D, résistante aux intempéries et aux UV, pour la plupart des générateurs de 5 000 à 10 000 watts noirCaractéristiques: Fabriqué en tissu polyester robuste 600D, résistant à l’usure et durable. Ce couvercle de générateur est étanche, gardant votre générateur complètement sec. Idéal pour protéger le générateur de la pluie, de la neige, des rayons UV, de la poussière, du vent fort, ainsi que pour le stockage ou le transport. Conçu avec un cordon d’ourlet élastique en bas permet une installation et un retrait faciles, et assure un ajustement sûr même par temps violent. Ajustement universel pour la plupart des générateurs, 5000-10 000 Watt. Caractéristiques: Matériel: tissu en polyester Couleur: noir Taille du paquet: 20 * 20cm Poids du paquet: 140g Liste de colis: 1 x Couverture de stockage du générateur
Commentaires
Laisser un commentaire