Selon The Hacker New , deux plugins WordPress, Malware Scanner et Web Application Firewall de miniOrage, sont vulnérables à une faille de sécurité grave, CVE-2024-2172, découverte par Stiofan, avec un score de gravité de 9,8 sur une échelle de 10 points du système de notation des vulnérabilités de sécurité CVSS.

Le bug a un impact important car même si le développeur l'a supprimé de l'App Store WordPress le 7 mars 2024, il peut toujours avoir un impact car Malware Scanner a été enregistré comme étant installé et actif sur jusqu'à 10 000 sites Web, alors qu'avec Web Application Firewall, il est de 300.

Wordfence a déclaré que la vulnérabilité était le résultat d'une vérification manquante dans le code du plugin, permettant à un attaquant non authentifié de mettre à jour arbitrairement le mot de passe de n'importe quel utilisateur et d'élever les privilèges à l'administrateur, conduisant potentiellement à une compromission complète du site Web.

Avec des droits administratifs, les pirates peuvent facilement télécharger des plugins supplémentaires, des fichiers zip malveillants contenant des portes dérobées et modifier les publications du site Web pour rediriger les utilisateurs vers d'autres sites Web malveillants.

Auparavant, un plugin similaire, RegistrationMagic, avait été signalé avec le code de bogue CVE-2024-1991 et le score CVSS 8,8, ce qui constitue également une vulnérabilité d'escalade de privilèges de gravité élevée. Ce plugin a également été téléchargé et installé plus de 10 000 fois.

WordPress est un système de gestion de contenu open source (CMS) populaire et largement utilisé dans le monde entier. La facilité d'installation, de téléchargement et de gestion de contenu sur cette plateforme CMS fait de WordPress une plateforme idéale pour les sites Web tels que les boutiques en ligne, les portails, les forums de discussion... Selon w3techs , cette plateforme CMS est actuellement choisie par 43,1% des sites Web dans le monde.