iT-News (WordPress) – L’un des plus populaires plugins de WordPress a récemment été la cible d’une faille de sécurité critique. La gravité de cette vulnérabilité a d’ailleurs été évaluée à 9,8/10 par le Common Vulnerability Scoring System (CVSS).
Ces derniers mois ont été particulièrement mouvementés du côté de WordPress. En février dernier, rappelons que pas moins de 25 000 sites avaient été exposés à une faille de sécurité critique. Plus récemment, nous découvrions également que plusieurs milliers de sites WordPress affichaient de fausses publicités, incitant alors les visiteurs à connecter leurs portefeuilles à des draineurs de cryptomonnaies. Désormais, voilà que nous apprenons qu’une faille de sécurité a bien failli mettre à mal les nombreux utilisateurs d’un certain plugin baptisé LayerSlider.
WordPress : cette faille du plugin LayerSlider aurait pu vous coûter cher
Si vous faites partie de celles et ceux qui ont élaboré leur site Internet à partir de WordPress, alors vous êtes peut-être déjà tombé nez à nez avec le plugin LayerSlider. Considéré par ses pères comme « le plugin WordPress ultime pour créer du contenu magnifiquement conçu et animé », celui-ci permet notamment de créer et d’éditer facilement des sliders depuis vos pages Web.
Pour autant, une vulnérabilité critique (CVE-2024-2879) affectant le plugin LayerSlider a été découverte par un certain AmrAwad lors du Bug Bounty Extravaganza de Wordfence le 25 mars dernier. Évaluée à 9,8/10 par le CVSS, cette faille a été décrite comme une injection SQL affectant les versions 7.9.11 à 7.10.0, comme cela nous est rapporté par The Hacker News.
Un correctif a d’ores et déjà été déployé
Cette faille de sécurité critique aurait pu être activement exploitée par des pirates afin qu’ils puissent dérober des informations sensibles. Fort heureusement, un correctif a très rapidement été déployé par les équipes de LayerSlider. Le 27 mars dernier, celles-ci ont en effet publié la version 7.10.1, comprenant donc des correctifs de sécurité importants. Si jamais vous n’avez toujours pas procédé à la mise à jour, vous savez dorénavant ce qu’il vous reste à faire.
Rappelons que ce n’est pas la première fois que des failles de sécurité ont été décelées dans des plugins WordPress lors de ces dernières semaines. Le mois dernier, une vulnérabilité du plugin LiteSpeed menaçait déjà 5 millions de sites WordPress.
