Faille du Plugin WordPress Permettant la Prise de Contrôle de Comptes Admin
Des hackers ont exploité une vulnérabilité critique dans le plugin User Registration & Membership le 5 mars. La faille affecte plus de 60 000 installations WordPress dans le monde entier.
Le bug permet aux attaquants de contourner les contrôles d'authentification et de créer des comptes administrateur sans autorisation. Des chercheurs en sécurité ont confirmé des tentatives d'exploitation active ciblant des sites vulnérables.
Selon The Hacker News, la vulnérabilité provient d'une validation incorrecte des entrées dans le processus d'enregistrement des utilisateurs du plugin.
Plus de 60 000 Sites WordPress en Danger
Les sites WordPress utilisant le plugin User Registration & Membership sont en danger immédiat. Le plugin maintient plus de 60 000 installations actives dans divers secteurs.
Les attaquants peuvent exploiter la faille à distance sans interaction de l'utilisateur. Aucune autorisation spéciale n'est requise pour exécuter l'attaque, ce qui la rend particulièrement dangereuse pour les sites non corrigés.
Les petites entreprises et les sites personnels représentent la majorité des installations affectées, bien que les déploiements WordPress d'entreprise utilisent également le plugin.
Mise à Jour du Plugin pour Combler la Faille de Sécurité
Les développeurs du plugin ont publié une mise à jour de sécurité pour corriger la faille de contournement de l'authentification. Les administrateurs de sites doivent mettre à jour vers la dernière version immédiatement.
Les propriétaires de sites WordPress peuvent vérifier la version de leur plugin via le tableau de bord d'administration. Les versions vulnérables permettent la création non autorisée de comptes admin via des requêtes d'enregistrement manipulées.
Les équipes de sécurité recommandent de revoir les comptes utilisateurs créés récemment et de mettre en place des contrôles d'accès supplémentaires tout en mettant à jour les systèmes affectés.
