Très populaire, le plugin WPML est sujet à 4 sérieuses failles de sécurité. 400.000 sites WordPress sont potentiellement touchés. La nouvelle version du plugin fixe ces problèmes.
Le plugin WPML utilisé sur 400.000 sites WordPress est touché par 4 failles de sécurité. WPML est très populaire car il permet de créer des sites multilingues.
Injection SQL, suppression de contenu, court-circuitage de XSS, élévation de privilège ; les failles permettent aux assaillants de s’attaquer à un site Web qui utilise ce plugin.
“Quand WPML traite une requête HTTP POST contenant le paramètre ‘action=wp-link-ajax’, le langage est choisi en analysant le referer HTTP. La validité du code de la langue analysé n’est pas vérifiée (…) L’utilisateur n’a pas besoin d’être connecté” détaille par exemple dans un post de blog l’expert en sécurité finlandais Jouko Pynnonen, qui a découvert ces failles.
Le POC (Proof-Of-Concept) des exploits des 4 failles a été testé avec la version 3.1.7.2 du plugin. La version 3.1.9, publiée la semaine dernière, comble ces failles, assure l’éditeur.
Au delà du cas particulier WPML, cette nouvelle affaire de faille pose la question de la sécurité de l’écosystème WordPress. Qu’il s’agisse du moteur du CMS, ou de ses innombrables plugin, WordPress est sujet régulièrement à des soucis de sécurité.
Il faut cependant noter que la communauté est particulièrement réactive. Un bon point pour cet outil open source devenu en quelques années un acteur majeur du Web, et utilisé par des milliers d’entreprises.
Source : Zdnet.fr
Partager la publication "Plugin WPML : 400.000 sites exposés à des failles sur WordPress"
Comments are closed