D’importantes vulnérabilités ont été découvertes dans le célèbre plugin WordPress “Pack All In One SEO “, mettant des millions d’utilisateurs de WordPress dans l’embarras.
Le CMS WordPress est facile à installer et à utiliser, c’est pourquoi un grand nombre de personnes font appel à cet outil. Mais si vous utilisez le plugin WordPress “All in One SEO” pour optimiser le référencement de votre site ou blog dans les moteurs de recherche, alors vous devez mettre à jour immédiatement cette extension à la dernière version de All in One SEO 2.1.6 .
Depuis quelques jours, l’équipe de All in One SEO a publié une mise à jour correctrice d’urgence de deux vulnérabilités : l’élévation des privilèges et une faille XSS. Ces failles ont été découvertes par les chercheurs en sécurité de Sucuri, un service de surveillance des logiciels malveillants que l’on peut trouver sur le web.
D’après Sucuri, l’élévation de privilèges permet à un attaquant d’ajouter et de modifier les informations des balises méta d’un site WordPress. Cela peut influencer très négativement le positionnement dans les moteurs de recherche.
“Dans le premier cas, un utilisateur connecté, qui ne possède pas d’autorisation spécifique sur le site WordPress (comme le rôle auteur), pourrait ajouter ou modifier certains paramètres utilisés par le plug-in. Cela inclus différentes balisent méta : les titres, la description et les mots clés.” précise Sucuri.
Quant à la faille XSS, les hackers peuvent exécuter du code JavaScript malicieux dans l’interface d’administration.
D’après Sucuri, “cela signifie qu’un attaquant pourrait potentiellement injecter du code JavaScript et faire des choses comme changer le mot de passe du compte Administrateur afin de laisser une backdoor dans les fichiers de votre site, cela permettra de revenir plus tard sur le site”.
Il existe à ce jour plus de 73 millions de sites Web qui utilisent cette plateforme de publication WordPress et plus de 15 millions de ces sites Web utilisent actuellement le plug in All in One SEO pour leur optimisation sur les moteurs de recherche.
En somme, les propriétaires de sites en WordPress doivent mettre à jour leur plugin WordPress All in One SEO avec la dernière version immédiatement !
Source (anglais)