SEO

La vulnérabilité WordPress de WPBakery permet aux attaquants d’injecter du code malveillant

En annuaire
Aucun commentaire

Un avis a été publié pour le plugin WPBakery populaire, regroupé dans des milliers de thèmes WordPress. Cette vulnérabilité permet à des attaquants authentifiés d’injecter des scripts malveillants qui s’exécutent lorsqu’une personne visite une page concernée.

Plugin WPBakery

WPBakery est un plugin de création de pages par glisser-déposer pour WordPress qui permet aux utilisateurs de créer facilement des mises en page et des sites Web personnalisés sans écrire de code. WPBakery est fréquemment associé à des thèmes premium. Les développeurs de thèmes l’octroient sous licence afin de pouvoir apporter la puissance d’une fonctionnalité de création de pages par glisser-déposer à leurs thèmes WordPress.

Vulnérabilité WPBakery

Le plugin WordPress WPBakery Page Builder a été découvert avoir une désinfection insuffisante des entrées et des sorties qui s’échappent dans son module Custom JS.

Une vérification insuffisante des entrées et l’échappement des sorties sont des failles qui permettent aux attaquants de télécharger du code malveillant sur un site Web et amènent le site concerné à générer du code malveillant. En général, cela peut conduire à des vulnérabilités telles que le Cross-Site Scripting (XSS) et l’injection SQL.

  • La désinfection des entrées filtre les données utilisateur téléchargées avant qu’elles ne soient stockées ou traitées par le plugin.
  • Output Escaping convertit les caractères ayant une signification HTML en sortie sécurisée avant qu’ils ne soient affichés sur une page Web. Cela empêche le code exécutable de s’afficher sur une page Web en direct et d’affecter les utilisateurs.

Cette faille permet aux attaquants disposant d’un accès de niveau contributeur ou supérieur d’injecter des scripts arbitraires sur les sites Web concernés. La vulnérabilité affecte les versions du plugin WPBakery jusqu’à la version 8.6.1 incluse.

Les utilisateurs du plugin sont encouragés à mettre à jour vers la dernière version de WPBakery, qui est actuellement la version 8.7.

Image en vedette par Shutterstock/fond d’écran d’illustration 3D

Google repense la façon dont les annonces du Réseau de Recherche sont étiquetées

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Se connecter

Vous n’avez pas encore de compte ? S’inscrire

Mot de passe oublié ?

S’inscrire

Réinitialiser le mot de passe

Veuillez saisir votre identifiant ou votre adresse e-mail. Un lien permettant de créer un nouveau mot de passe vous sera envoyé par e-mail.