Si vous utilisez le plugin client InfiniteWP pour gérer votre site web, c’est le moment idéal de le mettre à jour. Tout en faisant une vérification de routine, le site Sucuri.net a découvert dans le plugin une vulnérabilité qui pourrait être utilisée par un individu malveillant pour:
- Désactiver un site WordPress et le mettre en mode de maintenance
- Permettre à un individu malveillant de contrôler le contenu de la page de maintenance
Quels sont les risques?
Chaque site Web qui utilise une version de InfiniteWP, inférieure à la version 1.3.8, est en danger!
Un attaquant qui connaîtrait le nom d’utilisateur de l’administrateur du site pourrait forcer le site à afficher un contenu malveillant. Ils peuvent forcer votre site à passer en mode maintenance et infecter d’une des façons suivantes :
- Un code Javascript ou un iframe malveillant
- Des liens malveillants
- Effectuer un défacement du site qui consiste à faire apparaître un messages de dégradation (« piraté par » )
En outre, cette mise à jour de sécurité corrige également une autre vulnérabilité potentielle, bien qu’elle ne semble pas avoir été exploitée.
Comme toujours, si vous utilisez une version infectée de ce plugin ( inférieure à la version 1.3.8), mettez votre site à jour dès que possible!
Cette vulnérabilité est très dangereuse, la mise à niveau des sites touchés doit être fait immédiatement!
Mettez votre site à jour dès que possible!
Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!
Publié à l'origine le : 3 décembre 2014 @ 11 h 31 min
