Un nouveau rapport met en lumière les vulnérabilités les plus ciblées des plugins WordPress utilisées par les pirates informatiques au premier trimestre 2025 pour compromettre des sites.
Les quatre failles sont des vulnérabilités découvertes et corrigées en 2024, mais restent non corrigées dans de nombreux cas, donnant aux pirates la possibilité d’exécuter du code arbitraire ou d’exfiltrer des données sensibles.
Parmi les quatre failles, qui sont toutes de gravité critique, il y en a deux qui sont signalées comme activement exploitées pour la première fois.
Selon un nouveau rapport de pile de correctifs, les quatre failles qui ont reçu le plus de tentatives d’exploitation sont:
- CVE-2024-27956: Une faille critique d’injection SQL dans le plugin automatique WordPress (plus de 40 000 installations) permettait à des attaquants non authentifiés d’exécuter du SQL arbitraire via le paramètre auth POST dans la fonction d’exportation CSV. Wallarm a signalé pour la première fois une exploitation active de cette faille en mai 2024. Patchstack affirme que son correctif virtuel a bloqué plus de 6 500 attaques cette année jusqu’à présent. (corrigé en 3.92.1)
- CVE-2024-4345: Le plugin Startklar Elementor Addons (plus de 5 000 installations) souffrait d’une vulnérabilité de téléchargement de fichiers non authentifiée en raison d’une validation de type de fichier manquante. Les attaquants pourraient télécharger des fichiers exécutables et s’emparer de sites. Patchstack a bloqué de tels téléchargements, arrêtant des milliers de tentatives. (corrigé au 1.7.14)
- CVE-2024-25600: Une faille d’exécution de code à distance dans le thème Bricks (plus de 30 000 installations) permettait une exécution PHP non authentifiée via la route de REPOS bricks/v1/render_element. De faibles vérifications des autorisations et un nonce exposé ont permis l’attaque. Les premiers signes d’exploitation active ont été repérés à la fois par Patchstack et Wordfence en février 2024. Le premier rapporte maintenant qu’il a bloqué plusieurs centaines de tentatives d’utilisation non autorisée de l’itinéraire problématique. (corrigé au 1.9.6.1)
- CVE-2024-8353: Le plugin GiveWP (plus de 100 000 installations) était vulnérable à l’injection d’objets PHP via une désérialisation non sécurisée des paramètres de don comme give_ et card_. Cela pourrait conduire à la reprise complète du site. Patchstack a filtré les modèles malveillants et empêché des centaines de tentatives de compromission. (corrigé en 3.16.2)
Il est important de noter que les tentatives d’exploitation ne conduisent pas toujours à des compromis réussis, car bon nombre de ces sondes sont bloquées avant qu’elles ne nuisent ou que les exploits ne soient inefficaces pour atteindre le résultat souhaité.
Cependant, étant donné que tous les sites Web ne sont pas protégés par une pile de correctifs ou d’autres produits de sécurité de site Web efficaces, les chances que les pirates informatiques trouvent des conditions d’exploitation plus appropriées dans le paysage WordPress sont importantes.
Les administrateurs et propriétaires de sites Web doivent appliquer les dernières mises à jour de sécurité disponibles sur tous les modules complémentaires et thèmes WordPress et désactiver ceux dont ils n’ont pas nécessairement besoin.
Assurez-vous également que les comptes dormants sont supprimés et que des mots de passe forts et une authentification multifacteur protègent les comptes administrateurs.