Vulnérabilité critique du plugin WPML pour WordPress permettant l’exécution de code à distance, affectant plus d’un million de sites WordPress.
Une vulnérabilité critique a été découverte dans le plugin WPML pour WordPress, affectant plus d’un million d’installations. Cette vulnérabilité permet à un attaquant authentifié d’exécuter du code à distance, ce qui pourrait entraîner une prise de contrôle totale du site. Elle est classée 9,9 sur 10 par l’organisation Common Vulnerabilities and Exposures (CVE).
Vulnérabilité du plugin WPML
La vulnérabilité du plugin est due à l’absence d’une vérification de sécurité appelée « sanitization », un processus de filtrage des données d’entrée utilisateur pour se protéger contre le téléchargement de fichiers malveillants. L’absence de cette sanitization rend le plugin vulnérable à une exécution de code à distance.
La vulnérabilité réside dans une fonction d’un shortcode permettant de créer un sélecteur de langue personnalisé. La fonction rend le contenu du shortcode dans un modèle de plugin sans sanitiser les données, ce qui la rend vulnérable à une injection de code.
La vulnérabilité affecte toutes les versions du plugin WPML pour WordPress jusqu’à la version 4.6.12 incluse.
Chronologie de la vulnérabilité
Wordfence a découvert la vulnérabilité à la fin du mois de juin et a rapidement informé les éditeurs de WPML, qui sont restés sans réponse pendant environ un mois et demi, ne confirmant leur réponse que le 1er août 2024.
Les utilisateurs de la version payante de Wordfence ont reçu une protection huit jours après la découverte de la vulnérabilité, tandis que les utilisateurs de la version gratuite ont reçu une protection le 27 juillet.
Les utilisateurs du plugin WPML qui n’utilisaient aucune des versions de Wordfence n’ont reçu de protection de la part de WPML que le 20 août, lorsque les éditeurs ont enfin publié un correctif dans la version 4.6.13.
Les utilisateurs du plugin invités à mettre à jour.
Wordfence exhorte tous les utilisateurs du plugin WPML à s’assurer qu’ils utilisent la dernière version du plugin, WPML 4.6.13.
Ils ont écrit :
« Nous exhortons les utilisateurs à mettre à jour leurs sites avec la dernière version corrigée de WPML, la version 4.6.13 au moment de cette rédaction, dès que possible. »
Lisez-en plus sur la vulnérabilité sur Wordfence :
* Si vous avez aussi été victime de piratage, si vous désirez de l’aide ou assistance de nos professionnels ou si vous avez des questions, n’hésitez pas à communiquer avec nous à l’adresse: support@likuid.com, par le chat sur likuid.com ou par téléphone au 514.667.2245