Une faille de sécurité été trouvée dans le plugin de sauvegarde UpdraftPlus par l’équipe de chercheurs en sécurité de WordFence.
Il a été établi que les sauvegardes pouvaient contenir des informations sensibles et inclure des fichiers de configuration, permettant à un attaquant d’accéder à la base de données du site et à son contenu. La vulnérabilité a été corrigée dans la version 1.22.3 d’UpdraftPlus, et il est plus que recommandé d’appliquer la mise à jour dès que possible.
En bref, la vulnérabilité permet aux utilisateurs avec peu de privilèges (abonné, éditeur, etc.) de créer un lien qui permet de télécharger un fichier de sauvegarde. Pour pouvoir exploiter la vulnérabilité, l’attaquant doit envoyer une requête heartbeat modifiée. Si l’attaque réussit, l’attaquant peut même prendre le contrôle du site Web si les informations d’identification de la base de données sont divulguées à partir du fichier de configuration.
La faille de sécurité concerne les versions 1.16.7 à 1.22.2.
Le correctif a été apporté à la version 1.22.3.
Nous vous invitons à mettre à jour le plugin de sauvegarde UpdraftPlus dans les plus brefs délais.
Si vous êtes client Wawapress, vous n’avez rien à faire, car nos équipes ont mis en oeuvre un déploiement rapide du correctif pour l’ensemble de nos clients.
Bon WordPress à vous !!