Une brèche dans le plug-in Advanced Custom Fields pour WordPress permet de saisir du code malveillant sur deux millions de sites web environ et ainsi de causer des dommages tant à ces derniers qu’aux utilisateurs.
Il s’agit plus précisément des plug-ins Advanced Custom Fields et Advanced Custom Fields Pro de Delicious Brains. Ces plug-ins donnent aux administrateurs de sites WordPress davantage de contrôle sur leur contenu et leurs données.
Le 5 février, Patchstack découvrait qu’il était possible d’exécuter une attaque XSS via ces plug-ins. Il est question ici de ‘cross-site scripting’ impliquant qu’un agresseur saisit du code en général dans une zone de texte sur un site. Ce code est ensuite interprété par le site. Les attaques XSS étaient très courantes il y a 10-15 ans. Depuis lors, la plupart des sites savent comment fermer ces zones au moyen d’options de remplissage, afin que seul du texte soit accepté ou que du code ne soit pas exécuté. Mais il reste des exceptions.
Il serait ainsi possible de faire tourner en secret JavaScript dans le navigateur de chaque visiteur d’un site. Il pourrait alors en résulter que des informations du visiteur soient dérobées ou que l’ensemble du site soit pris sous contrôle, si l’utilisateur est un administrateur du site.
Un correctif avait été publié début avril pour ce problème. Depuis le 5 mai, Patchstack et Rafie Muhammad, le chercheur de Patchstack qui l’a découvert, sont autorisés à en parler publiquement. Concrètement, l’utilisateur d’Advanced Custom Fields doit mettre à niveau vers la version 6.1.6 ou ultérieure. La brèche s’est vu attribuer le code CVE-2023-30777.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici