120 000 sites équipés d’un plugin WordPress obsolète peuvent être entièrement effacés !
Un nouveau plugin bogué permet à des hackers de prendre le contrôle et de supprimer toutes les données d’un site internet tournant avec WordPress.
Deux failles de sécurité ont été découvertes sur le plugin PageLayer, qui permettent de prendre le contrôle du site et d’en supprimer le contenu.
La première faille permettait à tout utilisateur avec des permissions de bas niveau (comme un abonné du site) de modifier les pages du sites, par exemple en ajoutant des liens malveillants.
La seconde faille permettait à des attaquants de créer se faire passer pour l’administrateur du site auprès du système. Les hackers pouvaient déposer une fausse requête afin de modifier les réglages de PageLayer. Cette manipulation les autorisait à ensuite injecter du code Javascript malveillant pour transformer les pages du site. Ils pouvaient également créer des comptes d’administrateurs ou encore mettre en place des redirections… S’il ne souhaite pas exploiter le site à des fins malveillantes, l’assaillant aura les droits suffisants pour simplement le supprimer.
Une mise à jour avec la version 1.1.2 permet de patcher cette faille.
