Le plug-in Captcha de WordPress a été récemment mis à jour avec une faille de sécurité

Les experts en sécurité de WordFence ont découvert que le populaire plug-in WordPress Captcha installé sur plus de 300 000 sites a été récemment mis à jour pour fournir une faille cachée. L’équipe WordPress a rapidement retiré le plugin du référentiel WordPress Plugins officiel et fourni des versions aseptisées pour les clients concernés.

WordPress a également bloqué l’auteur du plug-in de la publication des mises à jour sans la revue de son équipe de développement, WordFence inclut maintenant des règles de pare-feu pour bloquer Captcha et cinq autres plugins du même auteur.

WordFence a travaillé avec l’équipe de plug-in WordPress pour corriger les versions antérieures au plug-in.

Lire aussi :   Créer et supprimer une partition de disque dur sur Windows

 

Le mode de fonctionnement de cette faille

L’équipe WordPress a remarqué quelque chose d’étrange en septembre, lorsque le plug-in a changé de mains. Seulement trois mois plus tard, la nouvelle équipe a distribué la version backdoor Captcha 4.3.7.

Les experts ont trouvé un code déclenchant un processus de mise à jour automatique qui télécharge un fichier ZIP depuis:

https://simplywordpress[dot]net/captcha/captcha_pro_update.php

puis extrait et s’installe en modifiant l’installation du plugin Captcha fonctionnant sur le site WordPress.

« Chaque fois que le référentiel WordPress supprime un plugin avec une grande base d’utilisateurs, nous vérifions si cela est dû à quelque chose lié à la sécurité. Wordfence alerte les utilisateurs quand un plugin qu’ils exécutent est également supprimé de WordPress repo.

Au moment de son retrait, Captcha comptait plus de 300 000 installations actives, de sorte que son retrait a un impact significatif sur de nombreux utilisateurs. », Indique l’analyse publiée par WordPress.

« Un fichier avec une faille  permet à un attaquant, ou dans ce cas, un auteur de plugin, d’obtenir un accès administratif non autorisé à votre site Web. Cette faille crée une session avec l’ID utilisateur 1 (l’administrateur par défaut créé par WordPress lors de sa première installation), définit les cookies d’authentification, puis se supprime.  »

 

Lire aussi: Comment les entreprises doivent-t-elles se préparer à la digitalisation ?

 

 

One Reply to “Le plug-in Captcha de WordPress a été récemment mis à jour avec une faille de sécurité”

Laisser un commentaire