[DIGITAL Business Africa] – WordPress atteint par le virus de la cybercriminalité. Le système de gestion de contenu aux 455 millions de sites web sur Internet contient une vulnérabilité dans son extension. Laquelle permet de prendre le contrôle du site ciblé. Ces informations sont contenues dans un rapport publié le 11 mai 2023 par la société de cybersécurité PatchStack.
Selon le rapport, la faille se trouve dans le catalogue « Essential Addons for Elementor », qui permet de personnaliser les pages. Par une simple réinitialisation du mot de passe des administrateurs, les attaquants parviennent à prendre le contrôle de leur plateforme.
« Cette vulnérabilité est due au fait que cette fonction de réinitialisation ne fait appel à aucune clé de désactivation du précédent de mot de passe, et modifie directement celui de l’utilisateur concerné », peut-on lire dans le rapport.
Selon nextimpact.com, les personnes concernées sont invitées à migrer vers la version 5.0.5 du plugin aussi vite que possible. Toutes les versions antérieures sont vulnérables.
Le site patchstack.com quant à lui met à disposition ce correctif en guise de solution: *eael_resetpassword_rp_data_*valeur configurée à partir de eael_redirect_to_reset_passwordla .
La source recommande fortement d’utiliser la fonction check_passaword_reset_key pour vérifier la clé de réinitialisation du mot de passe.
Par Jean Materne Zambo, sources : numerama.com, patchstack.com, nextimpact.com
