Total Donations: 1 faille 0-day dans le plugin de WordPress

L’équipe de développeurs du plugin Total Donations semble l’avoir abandonné, ils n’ont pas répondu aux demandes de renseignements.

Après avoir découvert plusieurs failles de sécurité 0-day, les chercheurs ont conseillé aux propriétaires de sites WordPress de supprimer le plugin Total Donations.

L’équipe de Wordfence a déclaré que des failles dans le plugin Total Donations, étaient exploité par des individus malveillants pour obtenir les droits d’administrateur de sites WordPress. Le plugin semble avoir été abandonné et il n’y a aucune réponse des développeurs de l’équipe Calmar Webmedia.

Total Donations est un plugin utilisé par des organismes non-lucratifs, églises ou organisations politiques. Le plugin se charge de gérer les donations en utilisant un formulaire de donation.  Les failles de sécurités découvertes existent dans toutes les versions du plugin.

wordpress zero day

La vulnérabilité permet à des gens non-authentifiés de mettre à jour des valeurs d’options WordPress. Les pirates informatiques peuvent envoyer des requêtes à l’événement AJAX pour appeler une certaine action (miglaA_update_me) qui changent les options des sites affectés.

Cette faille de sécurité peut être exploité pour activer l’enregistrement d’un nouvel utilisateur et lui donner le rôle d’administrateur par défaut.

(Aucune) Réponse des Développeurs de Total Donations

Le 16 Janvier, les chercheurs de Wordfence ont essayé de contacter Calmar Webmedia, les développeurs du plugin basé à Vancouver – mais ils n’ont reçu aucune réponse.

“Ces failles de sécurité ont le statut de zero-day car elles sont exploitées activement et qu’il n’y a pas de patch de sécurité disponible,” ont déclaré les chercheurs. “Malheureusement, il est possible qu’il n’y ait jamais de solution de sécurité pour ce plugin.”

Failles de sécurité WordPress

WordPress continue d’être concernés par des failles de sécurité et les plugins sont responsables de la majorité de ces vulnérabilités qui touchent le populaire système de gestion de contenu.

Selon un rapport d’Imperva, près de 98% des failles de sécurité des sites WordPress sont liées aux plugins.

total donations

“N’importe qui peut créer un plugin et le publier— WordPress est open source, facile à manier, et il n’y a pas d’application ou de processus qui impose des normes de sécurité,” ont révélé les chercheurs d’Imperva dans leur rapport.

En Décembre dernier, les utilisateurs de WordPress 5.0 ont été poussé à mettre à jour leur système de gestion de contenu pour réparer un certain nombre de bugs. Cette mise à jour de sécurité a été déployé moins d’une semaine après que la nouvelle version de WordPress ne soit sortie.

Si cet article vous a plu, jetez un œil à notre précédent article.