Marrakech, 21 févr. (Maroc-Actu) –
Plus de 3 millions de sites web basés sur WordPress ont reçu une mise à jour d’urgence pour corriger un vulnérabilité critique dans un plugin tiers, UpdraftPlusce qui a exposé les données de sauvegarde du site à des attaques potentielles.
UpdraftPlus a publié à la fin de la semaine dernière deux mises à jour de sécurité (1.22.3, pour sa version gratuite ; 2.22.3, pour les versions payantes.), et a recommandé son utilisation immédiate à tous les webmasters, comme l’a annoncé la société dans un communiqué de presse.
Ce correctif d’urgence corrige le plugin éponyme, une outil utilisé pour créer et restaurer des sauvegardes. de pages web. De nos jours, plus de 3 millions de sites basés sur WordPress l’utilisent.comme indiqué par UpdraftPlus sur son site web.
La mise à jour d’urgence vise à corriger un une vulnérabilité inconnue jusqu’alors et d’une gravité critique. et remarqué pour la première fois le 15 février par le chercheur Marc-Alexandre Montpas d’Automattic lors d’un audit.
L’erreur permet à tout utilisateur de WordPress enregistré avec UpdraftPlus actif de télécharger les sauvegardes. précédemment réalisés par d’autres sites web, ce que seuls leurs administrateurs devraient être en mesure de faire.
Les problèmes étaient dus à la l’absence de contrôle des autorisations. dans le code du gestionnaire de sauvegarde, ce qui permettait d’accéder à un identifiant interne, qui aurait dû être inconnu, avec lequel un attaquant pouvait télécharger les sauvegardes sans autorisation.
UpdraftPlus a fait en sorte que tous ses utilisateurs qui ont fait une sauvegarde sont exposés. en raison de leur vulnérabilité aux attaques de toutes sortes de criminels, même les moins avancés.
Il a également souligné que les sites concernés sont exposés à un risque de vol ou de perte de données, notamment lorsqu’ils contiennent des informations non publiques, et a donc recommandé une mise à jour « immédiate », tout en assurant que la plupart des sites ont déjà mis en œuvre le correctif.
