Plugin de scraping WordPress compromis par une faille de sécurité
Un plugin WordPress qui publie automatiquement du contenu extrait d’autres sites a été identifié avec une vulnérabilité critique, permettant à …
Sommaire
Un plugin WordPress qui publie automatiquement du contenu extrait d’autres sites a été identifié avec une vulnérabilité critique, permettant à des utilisateurs malveillants de télécharger des fichiers nuisibles sur les sites affectés. Cette faille de sécurité a été évaluée à 9,8 sur 10 sur l’échelle de gravité.
Crawlomatic : Le Générateur de Publication Multisite pour WordPress
Le plugin Crawlomatic pour WordPress est disponible à la vente sur la boutique Envato CodeCanyon au prix de 59 $ par licence. Il permet aux utilisateurs d’explorer des forums, de collecter des statistiques météorologiques, d’en extraire des articles à partir de flux RSS, et même de récupérer des contenus directement d’autres sites afin de les publier automatiquement sur leur propre site.
La page du plugin sur Envato CodeCanyon affiche une bannière notant que l’auteur a été reconnu pour avoir satisfait aux « normes de qualité WordPress » et présente un badge indiquant sa conformité avec les « Exigences WordPress d’Envato », un gage de sécurité, qualité, performance et standards de code dans les plugins et thèmes WordPress.
La page de répertoire du plugin stipule qu’il peut explorer et extraire pratiquement n’importe quel site web, y compris ceux basés sur JavaScript, promettant ainsi de transformer le site de l’utilisateur en une « machine à gagner de l’argent ».
Vulnérabilité aux Téléchargements de Fichiers Non Authentifiés
Ce plugin présente une absence de validation des types de fichiers dans toutes les versions jusqu’à et y compris la version 2.6.8.1.
D’après un avertissement publié par Wordfence :
« Le plugin Crawlomatic Multisite Scraper Post Generator pour WordPress est vulnérable à des téléchargements de fichiers arbitraires, en raison de l’absence de validation des types de fichiers dans la fonction crawlomatic_generate_featured_image() dans toutes les versions jusqu’à, et y compris, la 2.6.8.1. Cela permet aux attaquants non authentifiés de télécharger des fichiers arbitraires sur le serveur du site affecté, rendant ainsi possible l’exécution de code à distance. »
Les utilisateurs de ce plugin sont invités par Wordfence à mettre à jour vers au moins la version 2.6.8.2.
Pour en savoir plus, consultez Wordfence :
Image mise en avant par Shutterstock/nakaridore
- Wordfence Threat Intelligence
- Envato Market Documentation
- WPBeginner – Guide des Plugins WordPress
- Sécurité WordPress – Meilleures Pratiques
Articles similaires
developpement-webLe module de collaboration instantanée de WordPress en difficulté
developpement-webWooCommerce pourrait intégrer une intelligence artificielle de type assistant grâce à des extensions
developpement-web