La révélation d'une faille de sécurité critique au sein du plugin WordPress largement déployé, Membre ultime, a envoyé une onde de choc à travers la communauté en ligne. Suivi comme CVE-2024-1071 et découvert par le chercheur en sécurité Christiaan Swiers, cette vulnérabilité a un score CVSS stupéfiant de 9.8 de 10.
Présentation technique de CVE-2024-1071
La vulnérabilité réside dans les versions 2.1.3 à 2.8.2 de Membre Ultime et est issu d'un Faille d'injection SQL associé au « tri »’ paramètre. Les attaquants peuvent exploiter cette faiblesse pour injecter des requêtes SQL malveillantes, tirer parti de mécanismes d'échappement insuffisants et d'une préparation de requête inadéquate. Notamment, cette vulnérabilité affecte les utilisateurs qui ont opté pour le “Activer la table personnalisée pour la méta utilisateur” option dans les paramètres du plugin.
Les ramifications du CVE-2024-1071 ne doivent pas être sous-estimées. Des acteurs malveillants non autorisés pourraient exploiter cette faille pour infiltrer des sites Web., manipuler le contenu de la base de données, et potentiellement extraire des données sensibles. Le risque inhérent posé par les attaques par injection SQL non authentifiées montre l’urgence de mesures d’atténuation rapides..
Version 2.8.3 du Ultimate Member contient le patch
En réponse à la divulgation responsable, les développeurs du plugin ont rapidement publié un patch en version 2.8.3 de Ultimate Member en février 19. Il est impératif que les utilisateurs mettent rapidement à jour leurs plugins vers la dernière version afin de protéger leurs sites Web contre une exploitation potentielle.. Wordfence, une société de sécurité WordPress, a déjà intercepté une tentative d'attaque dans 24 heures de divulgation de la vulnérabilité, soulignant la menace imminente.
Cependant, cette vulnérabilité n'est pas un incident isolé. Cela fait partie d’une tendance plus large de vulnérabilités ciblant les sites WordPress.. Les acteurs malveillants ont déjà exploité des vulnérabilités similaires, comme CVE-2023-3460, pour orchestrer des activités malveillantes, y compris la création d'utilisateurs administrateurs malveillants.
Autres campagnes malveillantes contre les sites WordPress
Une nouvelle campagne exploitant les sites WordPress compromis pour injecter des draineurs de cryptographie a également vu le jour.. La campagne capitalise sur la dépendance de l'écosystème Web3 à l'égard des interactions directes avec les portefeuilles., posant des risques importants à la fois aux propriétaires de sites Web et aux actifs des utilisateurs.
Des schémas sophistiqués, comme le drainer-as-a-service (DaaS) schéma baptisé CG (CryptoGrab) sont également en hausse. Ce programme gère un programme d'affiliation à grande échelle, faciliter les opérations frauduleuses avec une efficacité alarmante.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: