Une faille zero-day dans la dernière version d’un plugin WordPress premium connu sous le nom de Passerelle WPG est activement exploité dans la nature, permettant potentiellement à des acteurs malveillants de prendre complètement le contrôle des sites affectés.
Suivi comme CVE-2022-3180 (Score CVSS : 9,8), le problème est en train d’être militarisé pour ajouter un utilisateur administrateur malveillant aux sites exécutant le plug-in WPGateway, a noté la société de sécurité WordPress Wordfence.
« Une partie de la fonctionnalité du plug-in expose une vulnérabilité qui permet à des attaquants non authentifiés d’insérer un administrateur malveillant », a déclaré le chercheur de Wordfence, Ram Gall. a dit dans un avis.
WPGateway est facturé comme un moyen pour les administrateurs de site d’installer, de sauvegarder et de cloner des plugins et des thèmes WordPress à partir d’un tableau de bord unifié.
L’indicateur le plus courant qu’un site Web exécutant le plugin a été compromis est la présence d’un administrateur avec le nom d’utilisateur « rangex ».
De plus, l’apparition de requêtes à « //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 » dans les logs d’accès est un signe que le site WordPress a été ciblé par la faille, bien qu’il n’implique pas nécessairement une violation réussie.
Wordfence a déclaré avoir bloqué plus de 4,6 millions d’attaques tentant de tirer parti de la vulnérabilité contre plus de 280 000 sites au cours des 30 derniers jours.
De plus amples détails sur la vulnérabilité ont été retenus en raison d’une exploitation active et pour empêcher d’autres acteurs de profiter de la lacune. En l’absence de correctif, il est recommandé aux utilisateurs de supprimer le plugin de leurs installations WordPress jusqu’à ce qu’un correctif soit disponible.
Le développement intervient quelques jours après que Wordfence a averti de l’abus dans la nature d’une autre faille zero-day dans un plugin WordPress appelé BackupBuddy.
La divulgation arrive aussi comme Sansec révélé que les acteurs de la menace ont fait irruption dans le système de licence d’extension de PoissonCochonun fournisseur d’intégrations Magento-WordPress populaires, pour injecter du code malveillant conçu pour installer un cheval de Troie d’accès à distance appelé Rekoobe.