WordPress : Une sérieuse faille corrigée dans un plug-in SEO

15 juillet 2016 Benoit Sécurité No Comments

Une vulnérabilité XSS persistante dans l’extension All in One SEO Pack du logiciel de gestion de contenu open source WordPress a été identifiée. Il est conseillé de la mettre à jour dès que possible.

Si vous avez un site WordPress et si vous utilisez le plug-in très populaire plug-in All in One SEO Pack, vous devriez le mettre à jour sans délai. En effet, il contient une vulnérabilité XSS persistante qui peut permettre le détournement du compte administrateur du site. La dernière version livrée vendredi corrige cette vulnérabilité. La faille, localisée dans la fonction Bot Blocker du plug-in, peut être exploitée à distance par l’envoi de requêtes HTTP contenant des en-têtes spécialement conçues pour le site Web. Selon le chercheur en sécurité David Vaartjes, qui a trouvé et signalé le problème, la fonction Bot Blocker permet de détecter et de bloquer les robots spammeurs qui collectent des adresses mails en fonction des valeurs de l’user agent et de l’en-tête de référence.

Si le paramètre Track Blocked Bots est activé – il n’est pas activé par défaut – le plug-in va charger toutes les requêtes bloquées et les afficher sur une page HTML dans le panneau d’administration du site. Mais, comme le plug-in ne parvient pas à faire correctement le tri dans les requêtes avant de les afficher, les attaquants peuvent injecter du code JavaScript malveillant dans les en-têtes, et le code se retrouve finalement dans le code HTML de la page.

Nous avons mis à jour tous nos site ayant l’extension

(Source : LeMondeInformatique)

 

Post your comments here

Your email address will not be published. Required fields are marked *

trois × quatre =