🔴 French Days en direct 🔴 French Days en direct

Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire

Fanny Dufour
20 octobre 2021 à 13h38
8
Wordpress

Plusieurs vulnérabilités dans le plugin WP Fastest Cache ont été trouvées et rapportées par l'équipe de Jetpack.

Elles ont depuis été corrigées dans une mise à jour par l'équipe en charge du plugin du CMS et il est conseillé de la faire au plus vite.

Un plugin très populaire

WP Fastest Cache est un plugin populaire sur WordPress et installé sur plus d'un million de sites. Il permet de mettre en cache certains éléments d'un site WordPress pour proposer une expérience plus rapide aux utilisateurs. Il contient aussi deux vulnérabilités, découvertes par l'équipe de Jetpack lors d'un audit.

La première est une injection SQL qui nécessite que les attaquants soient connectés et que le Classic Editor, qui permet de retrouver l'ancien éditeur pour ceux qui ne souhaitent pas utiliser Gutenberg, soit installé et activé. Les attaquants peuvent modifier une requête faite à la base de données pour que celle-ci leur retourne des informations normalement inaccessibles, comme les identifiants des utilisateurs et leurs mots de passe hashés.

Une mise à jour disponible

La deuxième vulnérabilité est de type XSS (Cross-Side Scripting), exploitable via une attaque CSRF (Cross-Side Request Forgery). Une attaque CSRF consiste à détourner une session d'un utilisateur authentifié sur le site en le piégeant, par exemple à l'aide d'un lien vers un site malveillant, pour pouvoir réaliser des actions à son insu et en son nom sur le site vulnérable. Si la victime est un administrateur, l'attaquant peut compromettre le site web entier. Ici, à cause d'une mauvaise validation des privilèges utilisateur, l'attaquant pouvait injecter du JavaScript malveillant sur le site et piéger les visiteurs.

Jetpack a prévenu l'équipe en charge du plugin, qui a corrigé les vulnérabilités dans une mise à jour sortie le 11 octobre. D'après Malwarebytes, 650 000 installations du plugin sont encore en version vulnérable. Si vous l'utilisez sur votre site WordPress, il est nécessaire de s'assurer d'avoir la version 0.9.5 et dans le cas contraire, de faire la mise à jour du plugin au plus vite.

Source : Malwarebytes

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (8)

mrassol
En plus ces plugins ne servent a rien …
toast
Pourquoi ?
Proutie66
Arrêté…
Cyril_Daniel
argumentation svp ?
Cyril_Daniel
ArretEZ plutôt non ?
mrassol
Car les systemes de cache c’est coté serveur que ca se passe, si votre hebergeur n’en n’a pas mis en place, il y a de forte chance que ces plugins de cache n’accelerent rien. A part virer les commentaires de code et compiler un fichier HTML ca va pas faire grand chose.<br /> Exemple ici : 20 Best WordPress Cache Plugins: Benchmarked! (wpdevshed.com)<br /> Perso, je ne mets plus de plugin de cache, j’ai du memcached et du nginx en frontal sur mes serveurs et ca va reellement plus vite.
barjy
on peut effectivement se poser la question de l’utilisation de ce plugin plutôt que d’utiliser un CDN de type cloudflare + optimiser «&nbsp;un peu&nbsp;» son installation de WP… c’est affollant le nombre de site qui ont des dizaines de plugins activés et ne s’en servent d’aucun…
mrassol
Ou les super plugin pour faire du HTTPS (4 lignes dans le htaccess), ou remettre le classic éditor (1 ligne dans functions.php, pas besoin d’un plugin).<br /> Les plugin c’est la plaie de Wordpress … le pire que j’ai vu c’est plus de 100 plugins … j’en ai viré plus de la moitié …
barjy
et encore, le plugin HTTPS a son utilité pour quelqu’un qui ne maîtrise pas l’informatique (et certains ne sont finalement qu’une IHM pour générer le .htaccess et ne sont pas du tout appellé au moment de l’affichage du site)…<br /> pour (beaucoup) d’autres plugins j’ai par contre vraiment du mal, dans mon top 5:<br /> woocommerce installé sur un blog qui ne fait pas de e-commerce (mais recquis par le thème)<br /> les plugins qui permettent d’installer google analytics alors que la plupart des (bons) themes le propose dans leur config<br /> les plugins de «&nbsp;social sharing&nbsp;» qui plombent littéralement l’affichage des pages<br /> les plugins de traduction auto du site (non mais sérieux? fonctionnalité intégrée à Chrome et qui fout un bronx absolu dans le référencement)<br /> plus généralement les plugins qui font des trucs «&nbsp;super sexy&nbsp;» mais dont on se tape le coquillard<br /> Mais je prense qu’on à tous notre top 5
Voir tous les messages sur le forum
Les tendances

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Attention si vous utilisez ce plugin WordPress : mise à jour forcée pour 1 million de sites Attention si vous utilisez ce plugin WordPress : mise à jour forcée pour 1 million de sites
Alerte chez PrestaShop : cette faille 0-day permet de voler les informations de paiement des utilisateurs Alerte chez PrestaShop : cette faille 0-day permet de voler les informations de paiement des utilisateurs
WordPress : 93 thèmes et plugins corrompus mettent en danger plus de 360 000 sites WordPress : 93 thèmes et plugins corrompus mettent en danger plus de 360 000 sites
WordPress : une mise à jour forcée pour combler une faille critique sur le plug-in Updraft Plus WordPress : une mise à jour forcée pour combler une faille critique sur le plug-in Updraft Plus
Firefox reçoit un correctif de sécurité en catastrophe Firefox reçoit un correctif de sécurité en catastrophe