Une vulnérabilité de gravité critique dans un plugin WordPress installé plus de 90 000 fois peut permettre à des pirates d’exécuter un code à distance et de compromettre totalement des sites web vulnérables.
Le bogue de sécurité a été découvert par une équipe de chasseurs de bogues connue sous le nom de Nex Team, qui l’a signalé à l’entreprise de sécurité WordPress Wordfence dans le cadre d’un programme de primes aux bogues récemment lancé.
Il affecte toutes les versions de plugins jusqu’à la version 1.3.6 incluse de Backup Migration, et des acteurs malveillants peuvent l’exploiter dans des attaques peu complexes sans interaction avec l’utilisateur.
Bien que la version 1.3.8 du plugin Backup Migration ait été publiée le jour de la publication du rapport, près de 50 000 sites web WordPress utilisant une version vulnérable doivent encore être sécurisés près d’une semaine plus tard, comme le montrent les statistiques de téléchargement de WordPress.org.
Les administrateurs de WordPress sont également la cible d’une campagne de phishing qui tente de les inciter à installer des plugins malveillants en utilisant comme appât de faux avis de sécurité de WordPress pour une vulnérabilité fictive appelée CVE-2023-45124.
WordPress corrige la chaîne POP exposant les sites web à des attaques RCE.
