Actus

730 000 sites WordPress mis à jour de force pour corriger un bogue de plug-in critique

Par , le 17 juin 2022 - 4 minutes de lecture
730 000 sites WordPress mis à jour de force pour corriger un bogue de plug-in critique
Notez l'article

Les sites WordPress utilisant Ninja Forms, un plugin de création de formulaires avec plus d’un million d’installations, ont été mis à jour en masse cette semaine vers une nouvelle version qui corrige une vulnérabilité de sécurité critique probablement exploitée à l’état sauvage.

La vulnérabilité est une vulnérabilité d’injection de code affectant plusieurs versions de Ninja Forms, à partir de la version 3.0.

L’analyste des menaces de Wordfence, Ramuel Gall, a découvert lors de la rétro-ingénierie du correctif que des attaquants non authentifiés peuvent exploiter ce bogue à distance pour appeler diverses classes de formulaires Ninja en utilisant une faille dans la fonction de fusion des balises.

Une exploitation réussie leur permet de prendre totalement le contrôle des sites WordPress non patchés via plusieurs chaînes d’exploitation, l’une d’entre elles permettant l’exécution de code à distance via la désérialisation pour prendre totalement le contrôle du site web ciblé.

“Nous avons découvert une vulnérabilité d’injection de code qui permettait à des attaquants non authentifiés d’appeler un nombre limité de méthodes dans diverses classes Ninja Forms, y compris une méthode qui désérialisait le contenu fourni par l’utilisateur, entraînant l’injection d’objets”, a déclaré Chloe Chamberland, responsable du renseignement sur les menaces de Wordfence. .

“Cela pourrait permettre aux attaquants d’exécuter du code arbitraire ou de supprimer des fichiers arbitraires sur des sites où une chaîne POP distincte était présente.”

Mise à jour de force et probablement exploitée à l’état sauvage

Mise à jour de force et probablement exploitée à l'état sauvage

Bien qu’il n’y ait pas eu d’annonce officielle, la plupart des sites Web vulnérables semblent avoir déjà été mis à jour de force en fonction du nombre de téléchargements depuis que cette faille a été corrigée le 14 juin.

Selon les statistiques de téléchargement de Ninja Forms, la mise à jour de sécurité a été déployée plus de 730 000 fois depuis la publication du correctif.

Si le plugin n’a pas encore été mis à jour automatiquement vers la version corrigée, vous pouvez également appliquer manuellement la mise à jour de sécurité depuis le tableau de bord (la dernière version sécurisée contre les attaques est la 3.6.11).

Les analystes de Wordfence ont également trouvé des preuves indiquant que cette faille de sécurité est déjà exploitée dans les attaques en cours.

“WordPress semble avoir effectué une mise à jour automatique forcée pour ce plugin, donc votre site utilise peut-être déjà l’une des versions corrigées”, a ajouté Chamberland.

Mises à jour forcées utilisées pour corriger les bogues critiques

Mises à jour forcées utilisées pour corriger les bogues critiques

Cela correspond aux cas précédents où Automattic, la société à l’origine du système de gestion de contenu WordPress, utilisait des mises à jour forcées pour corriger rapidement les failles de sécurité critiques utilisées par des centaines de milliers ou des millions de sites.

Samuel Wood, un développeur WordPress, a déclaré en octobre 2020 qu’Automattic avait utilisé des mises à jour de sécurité forcées pour pousser « plusieurs fois les versions de sécurité des plugins » depuis la sortie de WordPress 3.7.

Comme Marc Montpas, chercheur en sécurité chez Automattic, l’a également déclaré à BleepingComputer en février, les correctifs forcés sont utilisés quels que soient les paramètres de leurs administrateurs dans “des cas très rares et exceptionnellement graves”.

Par exemple, en 2019, Jetpack a reçu une mise à jour de sécurité critique qui corrigeait un bogue dans la façon dont le plugin traitait le code d’intégration.

D’autres mises à jour de sécurité forcées ont résolu un problème découvert lors d’un audit interne du bloc du formulaire de contact Jetpack en décembre 2018, un bogue critique dans la façon dont certains codes abrégés Jetpack ont ​​été traités en mai 2016 et un problème de logique d’authentification en juin 2021.

Plus récemment, en février 2022, 3 millions de sites Web utilisant le plugin WordPress UpdraftPlus ont été corrigés de force pour fermer une vulnérabilité permettant aux abonnés de télécharger les sauvegardes de la base de données.

  • Volvo batterie de voiture Volvo V60 (FW/GW) 2.4 D5 20_V Plug-in Hybrid (supérieur à 2010)
    Batterie de démarrage Auto plomb sans entretien, livrée prêt à l'emploi. Tension : 12V Capacité : 80Ah Intensité de démarrage (CCA EN) : 730A Dimensions : 315 x 175 x 190mm Polarité : [- +]
  • MAHLE Aftermarket Pompe à eau MAHLE Aftermarket CP 602 000P
    MAHLE Aftermarket Pompe à eau pour TOYOTA: Prius (Plug In 2,Plug In 1,III,+ MPV FL,+ MPV), Yaris (3 phase 3KSP130/NLP130/NSP130 FRA,3 Phase 2 KSP130/NLP130/NSP130 Fab France,3 KSP130/NLP130/NSP130 Fab. France), Auris (180 Prod GB Wagon,180 Phase 2 Prod GB Wagon,180 Phase 2 Prod GB Hatchback,180 Prod GB Hatchback,150 Phase2 Prod GB Hatchback) & LEXUS: CT200h (Phase 2) (Ref : CP 602 000P) gamme équipementier : BEHR *** PREMIUM LINE ***, type de fonctionnement : électrique, marque : MAHLE Aftermarket, avec consigne : non, but du produit : Le rôle de la pompe à eau est de faire circuler le liquide de refroidissement au sein du moteur pour réguler son refroidissement. Quand la pompe à eau est entraînée par la courroie de distribution, elle peut se retrouver vendue au sein de l'ensemble de pièce pompe à eau + kit de courroie de distribution. car il est fortement recommandé de changer ces deux pièces simultanément. Sinon elle est entraînée par la courroie d'accessoire, sans besoin particulier de changer les deux à la fois., quand changer : Les fuites de liquide et les bruits anormaux sont le signe qu'il faut impérativement changer une pompe à eau. La crasse et les impuretés sont souvent la cause d'une fuite ou de bruits, et peuvent abîmer plusieurs éléments de la pompe à eau. Soit le joint mécanique d'étanchéité est abîmé, la tension de la courroie est anormalement élevée, le palier est cassé. , pourquoi changer : Une pompe à eau défectueuse ou cassée entraîne inévitablement une surchauffe du moteur, et une pompe à eau usée ou qui n'est plus étanche et c'est la fuite de liquide assurée. Il convient donc de s'assurer que la pompe à eau reste en bon état pour que le système de refroidissement fonctionne de manière optimale. De même, si vous devez changer la courroie de distribution, la pompe à eau doit également être changée en même temps.
  • Celemony Melodyne 5 studio UD 4 studio
    Celemony Melodyne 5 studio UD 4 studio, Logiciel et plug-in de correction de hauteur et de synchronisation - Télé[email protected]+*Mise à jour de Celemony Melodyne 4 studio vers Melodyne 5 studio*@+, L'édition libre des fréquences et du temps des fichiers audio mono et polyphoniques dans une qualité exceptionnelle, La technologie DNA (Direct Note Access) permet d'éditer des notes individuelles à l'intérieur d'accords joués avec des instruments ou des ensembles, Amélioration de l'intonation et du timing, du phrasé et de la dynamique tout en conservant le naturel et la vivacité de la source, Création de doublons et de voix d'harmonie, ifférents algorithmes pour différentes sources : mélodique avec détection de sibilantes, percussif et universelle, Édition du tempo, de la hauteur, du vibrato, de la dérive de hauteur, des formants, du volume, du timing, des poignées de temps, de la vitesse d'attaque et de la séparation des notes, Édition multipiste avec options d'affichage et d'édition variables, Un éditeur de son permet d'intervenir dans la structure des harmoniques, Quantification à la piste de référence sélectionnable, Macros sur l'ensemble des pistes pour la correction et le nivellement du pitch et du timing, Fonctions complètes pour travailler avec les gammes et les réglages, Piste et grille d'accords et reconnaissance automatique d'accords, Détection et édition du tempo, Quantification et correction de gamme, Inspecteurs pour un accès rapide à tous les paramètres, Fonction polyphonique Audio-to-MIDI et exportation de fichiers MIDI, Formats supportés (64 bits uniquement) : Autonome / VST3 / AU2 / AAXnative / ARA2, Configuration requise : Win10 (64 bits) ou supérieur, Mac OSX 10.12 (64 bits) ou supérieur, processeur Dual Core, 4 Go de RAM, connexion Internet, version de Celemony Melodyne 4 Studio enregistrée
Avatar

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.