Utilisez-vous le plug-in Ultimate Members pour votre site web WordPress ? Si oui, mettez-le à jour avec la dernière version dès que possible.
Sophos avertit dans un blog détaillé au sujet d’Ultimate Members, un plug-in largement utilisé pour WordPress afin de gérer les comptes d’utilisateurs. Une vulnérabilité dans le plug-in permet à des personnes extérieures de se connecter à votre site web en tant qu’administrateur. Une personne mal intentionnée peut ainsi prendre le contrôle de votre site web.
Plus précisément, le bogue se trouve dans le formulaire d’enregistrement du plug-in, selon un message publié sur le forum d’assistance de WordPress. Les utilisateurs peuvent modifier certaines valeurs du formulaire, notamment le rôle qui leur est attribué. Bien qu’un attaquant ne puisse pas changer son rôle directement en administrateur, les systèmes de contrôle intégrés peuvent être trompés en jouant avec les valeurs d’entrée.
Jamais trois sans quatre
Dans une réponse à ce message, un développeur d’Ultimate Members a indiqué que son équipe travaillait déjà sur un correctif. Depuis le premier rapport d’un client, le plugin a reçu trois mises à jour qui n’ont que partiellement résolu le problème. Il y a 2 jours, Ultimate Members a lancé la version 2.6.7, qui devrait combler entièrement la faille de sécurité. Il est conseillé de mettre à jour vers cette version.
Cette chaîne de mises à jour amène les chercheurs de Sophos à la comparer à la vulnérabilité MOVEit qui cause des problèmes majeurs depuis un mois. Les équipes de développeurs de Progress Software ont déjà tenté de colmater la fuite, mais un nouveau bogue réapparaît sans cesse.
Plug-ins erronés
Des failles de sécurité dans les plug-ins WordPress sont monnaie courante. Compte tenu du grand nombre de sites web fonctionnant sous WordPress, ces failles rendent souvent des millions de sites web vulnérables aux attaques d’un seul coup. Pour garder votre site web en bonne santé, il vaut donc mieux prendre le temps de vérifier de temps en temps si vos plug-ins sont toujours à jour et ne pas hésiter à supprimer les plug-ins mal sécurisés ou fonctionnant mal.