Les pirates ont pu exploiter des vulnérabilités de sécurité critiques dans le bouton Partager des résaux sociaux pour contrôler les sites WordPress, qui exécutent toujours une version faible du plug-in. Le composant faible en question est « Social Warfare », un plugin WordPress populaire téléchargé plus de 900 000 fois et utilisé pour ajouter des boutons de partage social à un site ou à un blog WordPress.

Les pirates peuvent exploiter ces vulnérabilités pour exécuter du code PHP arbitraire, contrôler entièrement les sites Web et les serveurs, puis utiliser des sites à risque pour extraire des pièces de monnaie numériques ou héberger du code d’exploitation malveillant.

« Social Warfare for WordPress » a publié une version mise à jour 3.5.3 de son plug-in afin de corriger deux failles de sécurité – XSS et RCE – suivies d’un ID CVE-2019-9978. Le même jour, un chercheur en sécurité a publié une divulgation complète et une preuve de la vulnérabilité de script intersite (XSS).

La principale raison de ces deux variables est l’utilisation abusive de la fonction is_admin () dans WordPress. Les chercheurs de Unit 42 disent qu’Is_admin est vérifié uniquement si la page demandée fait partie de l’interface administrateur et n’empêchera pas les visites non autorisées.

Plus de 37 000 sites WordPress sur 42 000 sites actifs utilisent encore une version obsolète du plug-in « Social Warfare », laissant des centaines de millions de visiteurs à risque de piratage. Comme les attaquants vont probablement continuer à exploiter ces vulnérabilités, les responsables du plug-in « Social Warfare » recommandent vivement de mettre à jour le plug-in « Social Warfare » vers la version 3.5.3 ou ultérieure dès que possible.

Source : The Hacker News