total donations

Total Donations: Un Nouveau Plugin WordPress Victime d’un 0-day

L’équipe de développeurs du plugin Total Donations semble l’avoir abandonné, ils n’ont pas répondu aux demandes de renseignements.

Les chercheurs conseillent aux propriétaires de sites WordPress de supprimer le plugin compromis après avoir découvert plusieurs vulnérabilités zero-day.

L’équipe de Wordfence a déclaré que des failles dans le plugin, Total Donations, étaient exploité par des gens mal intentionnés pour acquérir les droits d’administrateur des sites WordPress. Le plugin semble avoir été abandonné et il n’y a aucune réponse des développeurs de l’équipe Calmar Webmedia.

Total Donations est un plugin utilisé par organismes non-lucratifs, églises ou organisations politiques qui acceptent des donations en utilisant un formulaire de donation.  Les vulnérabilités découvertes existent dans toutes les versions du plugin.

wordpress zero day

La vulnérabilité permet à des gens non-authentifié de mettre à jour des valeurs d’options WordPress. Les hackers peuvent envoyer des requêtes à l’événement AJAX pour appeler une certaine action (miglaA_update_me) qui changent les options des sites affectés.

Cela peut être utilisé pour activer l’enregistrement d’un nouvel utilisateur et lui donner le rôle d’administrateur par défaut..

(Aucune) Réponse des Développeurs de Total Donations

Le 16 Janvier, les chercheurs de Wordfence ont essayé de contacter Calmar Webmedia, les développeurs du plugin basé à Vancouver – mais ils n’ont reçu aucune réponse.

“Ces vulnérabilités ont le statut de zero-day car elles sont exploités activement et qu’il n’y a pas de patch disponible,” ont déclaré les chercheurs. “Malheureusement, il est possible qu’il n’y ait jamais de solution pour ce plugin.”

Vulnérabilités WordPress

WordPress continue d’être victimes de vulnérabilités et les plugins ont une grande part de responsabilités.

Selon un rapport d’Imperva, près de 98% des vulnérabilités des sites WordPress sont liés aux plugins.

total donations

“N’importe qui peut créer un plugin et le publier— WordPress est open source, facile à manier, et il n’y a pas d’application ou de processus qui impose des normes de sécurité,” ont révélé les chercheurs d’Imperva dans leur rapport.

En Décembre dernier, les utilisateurs de WordPress 5.0 ont été poussé à mettre à jour leur CMS pour réparer un certain nombre de bugs – moins d’une semaine après que la nouvelle version soit sortie.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de