Vous reprendrez bien une dose de plugins WordPress vérolés ? Cette fois, c’est un anti-spam populaire qui s’y colle, avec pas une, mais deux failles critiques à patcher d’urgence.
Wordpress au cœur de l’actualité cybersécu, épisode 2345. Les chercheurs de WordFence sonnent une fois de plus l’alerte concernant un plugin doublement défaillant. Baptisé Anti-Spam by CleanTalk, le module censé lutter contre les messages indésirables pourrait laisser passer bien pire sur près de 200 000 sites. En cause : deux failles de sécurité extrêmement sérieuses, permettant à des hackers d’exécuter du code à distance et de s’emparer des contrôles admin sans authentification préalable.
Un plugin qui protège… ou presque
Si ces vulnérabilités font parler, c’est qu’en dehors de leur vaste surface d’attaque potentielle, elles cochent toutes les cases des failles à patcher le plus rapidement possible.
La première, estampillée CVE-2024-10542, affiche un score CVSS presque parfait de 9.8, niveau de sécurité critique. Dans le détail, elle permet à des pirates non authentifiés d’installer et d’activer à tour de bras des plugins malveillants sur les sites attaqués, ouvrant la voie à des intrusions et à une prise de contrôle complète du site.
La seconde, CVE-2024-10781, score CVSS identique à la première, permet peu ou prou de mener des attaques de même type. Conséquence : les pirates peuvent manipuler votre site à distance avec une facilité déconcertante.
Contactée par les équipes de WordFence dès le 30 octobre, CleanTalk n’a pas tardé à réagir, publiant un premier correctif le 1er novembre, doublé d’un second le 14 novembre. Si vous faites partie des utilisateurs et utilisatrices du plugin compromis, mieux vaut vérifier que vous utilisez bien la version 6.45 ou ultérieure. Dans le cas contraire, mettez-le à jour sans attendre.
Un cas loin d’être isolé
Celles et ceux qui ont suivi les dernières actualités WordPress savent que cette affaire n’a rien d’une exception dans l’écosystème de la plateforme d’édition. Mi-novembre, le plugin Really Simple SSL, installé sur plus de 4 millions de sites, était sujet à une vulnérabilité permettant de contourner l’authentification à deux facteurs et d’obtenir un accès à la console de gestion admin.
Quelques semaines plus tôt, Jetpack corrigeait une faille vieille de sept ans, touchant 27 millions d’installations actives, tandis que LiteSpeed Cache, utilisé par 6 millions de sites, essuyait deux failles critiques en seulement deux mois.
Des incidents récurrents qui ne font que confirmer une réalité : les plugins WordPress, aussi populaires soient-ils, sont loin d’être infaillibles. Pour limiter la casse, quelques réflexes simples, mais essentiels, s’imposent.
Comme toujours, ne repoussez jamais la mise à niveau de vos plugins, thèmes et versions de WordPress. Si des updates sont déployées, il y a sûrement une vraie bonne raison derrière. Pensez aussi à bien contrôler la sécurité des modules que vous téléchargez : évitez d’installer des extensions peu utilisées et/ou peu mises à jour, pour éviter tout risque failles non patchées, voire de plugins intentionnellement malveillants.
Faites enfin régulièrement le ménage parmi les modules que vous n’utilisez plus. Une bonne manière de réduire facilement les surfaces d’attaque, et donc les mauvaises surprises.
Source : WordFence
18 novembre 2024 à 15h14
