Vulnérabilité du plugin client InfiniteWP

infinitewp

Si vous utilisez le plugin client InfiniteWP pour gérer votre site web, c’est le moment idéal de le mettre à jour. Tout en faisant une vérification de routine, le site Sucuri.net a découvert dans le plugin une vulnérabilité qui pourrait être utilisée par un individu malveillant pour:

  1. Désactiver un site WordPress et le mettre en mode de maintenance
  2. Permettre à un individu malveillant de contrôler le contenu de la page de maintenance

Quels sont les risques?

Chaque site Web qui utilise une version de InfiniteWP, inférieure à la version 1.3.8, est en danger!

Un attaquant qui connaîtrait le nom d’utilisateur de l’administrateur du site pourrait forcer le site à afficher un contenu malveillant. Ils peuvent forcer votre site à passer en mode maintenance et infecter d’une des façons suivantes :

  • Un code Javascript ou un iframe malveillant
  • Des liens malveillants
  • Effectuer un défacement du site qui consiste à faire apparaître un messages de dégradation (« piraté par » )

Sécurité WordPress

En outre, cette mise à jour de sécurité corrige également une autre vulnérabilité potentielle, bien qu’elle ne semble pas avoir été exploitée.

Comme toujours, si vous utilisez une version infectée de ce plugin ( inférieure à la version 1.3.8), mettez votre site à jour dès que possible!

Cette vulnérabilité est très dangereuse, la mise à niveau des sites touchés doit être fait immédiatement!

Mettez votre site à jour dès que possible!


 Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

Publié à l'origine le : 3 décembre 2014 @ 11 h 31 min

Pour compléter votre lecture.