Advanced Custom Fields
Le plugin Advanced Custom Fields, utilisé par plus de deux millions de sites web, serait vulnérable à une faille de sécurité de type « cross site scripting » (XSS), avertit The Register. La découverte de cette faille a été faite le 2 mai par Rafie Muhammad, chercheur chez Patchstack, et immédiatement signalée à l'éditeur du plugin, Delicious Brains, qui a publié une mise à jour (6.1.6). Les utilisateurs du plugin sont vivement encouragés à déployer cette mise à jour pour protéger leurs sites.
La vulnérabilité en question permet à tout utilisateur non authentifié de récupérer des informations sensibles ou de procéder à une escalade des privilèges sur le site WordPress en incitant un utilisateur privilégié à visiter un lien malveillant. Le score CVSS de cette faille est de 6,1 sur 10 en termes de gravité, ce qui la rend potentiellement dangereuse pour les sites web qui utilisent ce plugin.
Wordpress : grande popularité et grosse cible pour les hackers
WordPress est l'un des systèmes de gestion de contenu les plus populaires au monde, avec une part de marché de 43,2 % selon W3Techs. Cependant, il est également connu pour être vulnérable à diverses attaques, en partie en raison de son écosystème de plugins tiers maintenus par des développeurs indépendants, certains d'entre eux pouvant contenir des vulnérabilités de sécurité.
Patchstack a noté une augmentation de 150 % des signalements de vulnérabilités de WordPress entre 2020 et 2021, et 29 % des plugins présentant des vulnérabilités critiques à l'époque n'ont pas été corrigés. Il est donc crucial que les utilisateurs de WordPress et de ses plugins tiers restent vigilants et appliquent les mises à jour de sécurité dès qu'elles sont disponibles pour éviter toute compromission de leur site web.