Une faille de sécurité dans une extension WordPress menace des millions de sites Internet
L'extension All-in-One WP Migration de WordPress, largement utilisée pour la création de sites Internet et de blogs, représente une menace pour les sites web.
All-in-One WP Migration est une extension WordPress populaire qui facilite le processus de transfert de contenu de site, de bases de données, de médias, d'extensions et de thèmes d'un emplacement à un autre. Cependant, selon les découvertes, cette extension présente une faille de sécurité critique qui pourrait mettre en danger des millions de sites web. Alev Akkoyunlu, directeur des opérations de Laykon Bilişim, distributeur de Bitdefender Antivirus en Turquie, a averti les utilisateurs de cette extension qu'elle pourrait permettre la redirection malveillante des données de transfert vers des cibles contrôlées par des attaquants ou la restauration de sauvegardes malveillantes.
Le logiciel WordPress est largement utilisé pour la création, la publication et la gestion de sites web et de blogs de différentes tailles en raison des fonctionnalités qu'il peut offrir. Cependant, les extensions utilisées avec WordPress sont souvent sujettes à des failles de sécurité. Il a été découvert que l'extension All-in-One WP Migration présentait une faille de sécurité importante identifiée sous le nom de CVE-2023-40004, qui permet un accès non autorisé et une manipulation des données sensibles du site web, en ayant accès aux configurations de jetons et en redirigeant les données vers des cibles sous le contrôle de l'attaquant. Alev Akkoyunlu, directeur des opérations de Laykon Bilişim, a averti les utilisateurs de cette extension en déclarant : "L'extension All-in-One WP Migration, qui facilite le transfert de sites web, pourrait permettre la redirection malveillante des données de transfert vers des cibles contrôlées par des attaquants ou la restauration de sauvegardes malveillantes. Un attaquant exploitant cette faille pourrait avoir accès à des bases de données volumineuses, à des informations utilisateur, à des données confidentielles et à d'autres données critiques du site web."
La faille de sécurité s'étend également aux extensions avancées conçues pour faciliter le transfert via des services tiers tels que Box, Google Drive, OneDrive et Dropbox, qui incluent entièrement le code vulnérable. La gravité de cette faille de sécurité est accrue par le nombre d'installations actives d'environ 5 millions. L'extension All-in-One WP Migration fonctionne généralement activement et est souvent utilisée pendant le processus de transfert de site web. Cependant, un nombre élevé d'installations actives augmente considérablement la probabilité de faille de sécurité.
Les utilisateurs qui dépendent de l'extension All-in-One WP Migration et des extensions associées doivent mettre à jour vers les versions corrigées suivantes :
Extension Box : v1.54
Extension Google Drive : v2.80
Extension OneDrive : v1.67
Extension Dropbox : v3.76
All-in-One WP Migration : v7.78
Selon Alev Akkoyunlu de Laykon Bilişim, la mise à jour vers ces versions corrige la faille de sécurité et protège les sites web contre les actes malveillants. La mise à jour vers les dernières versions de l'extension All-in-One WP Migration et des extensions concernées n'est pas seulement une recommandation, mais aussi une étape importante pour maintenir l'intégrité et la sécurité des sites web utilisant WordPress.
Hibya Haber AjansıFrance News Agency