Plugin de scan de malware WordPress présente une faille de sécurité.

Wordfence a récemment émis un avertissement concernant le plugin Malcure Malware Scanner pour WordPress, qui présente une vulnérabilité évaluée à un niveau de gravité de 8.1. Au moment de la publication, aucun correctif n’était encore disponible pour résoudre ce problème.

Capture d’écran montrant la note de gravité 8.1

Vulnérabilité du scanner de malware Malcure

Le plugin Malcure Malware Scanner, utilisé sur plus de 10 000 sites web WordPress, est susceptible à une suppression de fichiers arbitraires en raison d’une vérification de capacité manquante sur la fonction wpmr_delete_file(), ciblant des attaquants authentifiés. Bien que ce besoin d’authentification en tant qu’utilisateur limite quelque peu le risque d’exploitation, cela reste préoccupant car une simple authentification au niveau « abonné » suffit, qui est le niveau le plus bas d’authentification sur un site WordPress (s’il permet l’inscription).

Selon Wordfence :

« Cela permet aux attaquants authentifiés, ayant un accès au niveau Abonné ou supérieur, de supprimer des fichiers arbitraires, rendant possible l’exécution de code à distance. Ce risque n’est exploitable que lorsque le mode avancé est activé sur le site. »

Actuellement, aucun correctif n’est connu pour ce plugin et les utilisateurs sont conseillés de prendre les mesures nécessaires, comme désinstaller le plugin, pour réduire les risques.

En outre, le plugin n’est plus disponible au téléchargement, avec un message indiquant qu’il est en cours d’examen.

Capture d’écran du plugin Malcure sur le répertoire WordPress

Pour en savoir plus sur les actualités WordPress

Mise à jour WordPress 6.8.2 – Met fin au support de sécurité pour 0,9 % des sites

Image vedette par Shutterstock/Kues