Amazon teste à Seattle un magasin bardé de capteurs et sans caisse, couplé à un système de paiement automatisé sur smartphone.

L'Image du jour

Amazon teste à Seattle un magasin bardé de capteurs et sans caisse, couplé à un système de paiement automatisé sur smartphone.

Les 10 tendances technologiques en 2017

Dernier Dossier

Les 10 tendances technologiques en 2017

Comme chaque année, la rédaction du Monde Informatique a établi une liste des 10 tendances technologiques à venir ou qui vont se poursuivre en 2017....

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
1
Réagissez Imprimer Envoyer

Une vulnérabilité critique dans un plug-in WordPress exploitée

Slider Revolution est vendu via CodeCanyon.net, une boutique en ligne de scripts et de composants Web. (crédit : D.R.)

Slider Revolution est vendu via CodeCanyon.net, une boutique en ligne de scripts et de composants Web. (crédit : D.R.)

Selon des chercheurs en sécurité, les administrateurs de sites WordPress doivent vérifier et mettre à jour sans délai le plug-in Slider Revolution.

Depuis mercredi, les chercheurs de deux entreprises de sécurité mettent en garde contre une vulnérabilité critique présente dans un plug-in WordPress utilisé par un grand nombre de thèmes. La vulnérabilité, activement exploitée par les pirates, affecte les versions 4.1.4 et antérieures du plug-in commercial Slider Revolution, qui permet de créer et de faire défiler des contenus sous forme de Slides dans WordPress. La version 4.2 du plug-in, sortie en février, corrige la vulnérabilité, mais certains thèmes utilisent toujours une version à risque du plug-in. Des chercheurs de l'entreprise de sécurité Sucuri expliquent dans un blog que la vulnérabilité peut être exploitée pour exécuter une attaque dite par inclusion de fichier local (LFI), laquelle permet aux pirates d'accéder au fichier wp-config.php du site sous WordPress. « Ce fichier sensible contient des informations d'identification qui protègent la base de données, et elles peuvent être utilisées pour compromettre l'ensemble du site », alertent les chercheurs.

En février dernier, ThemePunch, le développeur du plug-in Slider Revolution, avait indiqué dans son avis que la mise à jour de la version 4.2 corrigeait un problème de sécurité, sans donner plus de détails sur la faille ou son impact. Selon les chercheurs en sécurité de Trustwave, depuis plusieurs mois, des informations sur la vulnérabilité circulent sur les forums illégaux, et le 1er septembre dernier, un contributeur a posté sur un site public un exploit proof-of-concept permettant de tirer profit de la faille. Il a même fourni la liste des thèmes WordPress susceptibles d'être affectés. « Actuellement, nos indicateurs montrent une forte augmentation du balayage des sites Wordpress », ont-ils indiqué. Les chercheurs de Sucuri ont également relevé de nombreuses tentatives pour exploiter la vulnérabilité. « Pour la seule journée de mercredi, 64 adresses IP différentes ont essayé d'exploiter la vulnérabilité sur plus de 1000 sites différents », ont-ils déclaré.

La version 4.6 de Slider Revolution également hors de danger

Slider Revolution est vendu via CodeCanyon.net, une boutique en ligne de scripts et autres composants Web. Le plug-in est acheté par des propriétaires de site réguliers et par des développeurs de thèmes pour WordPress qui ajoutent le composant à leurs produits pour implémenter la fonctionnalité. Sauf que, généralement, quand le plug-in est intégré à ces thèmes, le mécanisme de mise à jour automatique est désactivé. Les utilisateurs doivent alors compter sur les auteurs pour qu'ils mettent à jour le plug-in, ce qu'ils ne font pas la plupart du temps. « Nous corrigeons tous les problèmes en quelques heures », a déclaré hier par courriel un représentant du service technique de Damojo, l'éditeur allemand qui possède ThemePunch. « Comme vous le savez, il est essentiel que tous les plug-ins de WordPress et des serveurs soient à jour. Nos clients directs mettent régulièrement à jour leur plug-in, parfois automatiquement s'ils le désirent. Mais, ce n'est pas le cas des auteurs qui intègrent le plug-in à leur thème, et c'est un vrai problème », a déclaré le représentant de Damojo. « La note de sécurité accompagnant la dernière mise à jour aurait dû les alerter. Or, depuis le mois de février, la plupart des auteurs n'ont pas proposé à leurs clients de remplacer leur thème avec le plug-in corrigé ».

Une version 4.6 de Slider Revolution est disponible depuis le 25 août, mais cette vulnérabilité particulière ne concerne que les versions antérieures à la 4.2. Le représentant de Damojo conseille aux utilisateurs de vérifier si leurs thèmes contiennent une version vulnérable du plug-in et de contacter les auteurs si c'est le cas. Celui-ci ajoute qu'on ne pas rendre l'éditeur responsable de ce manquement. « Cet incident montre une fois de plus les risques que présente l'utilisation de code par des tiers, un problème bien connu qui concerne tous types de logiciels, et pas seulement les applications Web et les thèmes WordPress ». Beaucoup de développeurs utilisent des composants et des bibliothèques de tierce partie dans leurs propres projets et n'assurent pas un suivi suffisant des mises à jour de sécurité. « C'est la raison pour laquelle il peut arriver qu'une vulnérabilité soit identifiée et corrigée dans un logiciel, mais perdure des mois ou des années dans d'autres applications ».

COMMENTAIRES de l'ARTICLE1

le 07/09/2014 à 19h24 par newsoftpclab (Membre) :

Si on doit se méfier de chaque plug in maintenant!Il faut espérer que cette vulnérabilité critique ne soit plus qu'un souvenir.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
15 Octobre 1993 n°561
Publicité
Publicité