{"id":720817,"date":"2023-05-06T06:28:33","date_gmt":"2023-05-06T08:28:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-vulnerabilite-dans-le-plugin-wordpress-populaire-expose-plus-de-2-millions-de-sites-aux-cyberattaques\/"},"modified":"2023-05-06T06:28:36","modified_gmt":"2023-05-06T08:28:36","slug":"une-nouvelle-vulnerabilite-dans-le-plugin-wordpress-populaire-expose-plus-de-2-millions-de-sites-aux-cyberattaques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-vulnerabilite-dans-le-plugin-wordpress-populaire-expose-plus-de-2-millions-de-sites-aux-cyberattaques\/","title":{"rendered":"Une nouvelle vuln\u00e9rabilit\u00e9 dans le plugin WordPress populaire expose plus de 2 millions de sites aux cyberattaques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les utilisateurs du plugin Advanced Custom Fields pour WordPress sont invit\u00e9s \u00e0 mettre \u00e0 jour la version 6.1.6 suite \u00e0 la d\u00e9couverte d&#8217;une faille de s\u00e9curit\u00e9.<\/p>\n<p>Le probl\u00e8me, auquel est attribu\u00e9 l&#8217;identifiant CVE-2023-30777, concerne un cas de script intersite r\u00e9fl\u00e9chi (XSS) qui pourrait \u00eatre utilis\u00e9 \u00e0 mauvais escient pour injecter des scripts ex\u00e9cutables arbitraires dans des sites Web autrement b\u00e9nins.<\/p>\n<p>Le plugin, qui est disponible en version gratuite et pro, a plus de <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/plugins\/advanced-custom-fields\/\" target=\"_blank\">deux millions d&#8217;installations actives<\/a>.  Le probl\u00e8me a \u00e9t\u00e9 d\u00e9couvert et signal\u00e9 aux responsables le 2 mai 2023.<\/p>\n<p>&#8220;Cette vuln\u00e9rabilit\u00e9 permet \u00e0 tout utilisateur non authentifi\u00e9 de voler des informations sensibles pour, dans ce cas, escalader les privil\u00e8ges sur le site WordPress en incitant un utilisateur privil\u00e9gi\u00e9 \u00e0 visiter le chemin d&#8217;URL cr\u00e9\u00e9&#8221;, a d\u00e9clar\u00e9 le chercheur de Patchstack, Rafie Muhammad. <a rel=\"nofollow noopener\" href=\"https:\/\/patchstack.com\/articles\/reflected-xss-in-advanced-custom-fields-plugins-affecting-2-million-sites\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tractivethreatsstatic-inside-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682946326_927_Decouverte-de-la-nouvelle-boite-a-outils-de-logiciels-malveillants.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-community\/attacks\/xss\/\" target=\"_blank\">XSS r\u00e9fl\u00e9chi<\/a> les attaques se produisent g\u00e9n\u00e9ralement lorsque les victimes sont amen\u00e9es \u00e0 cliquer sur un faux lien envoy\u00e9 par e-mail ou par une autre voie, ce qui entra\u00eene l&#8217;envoi du code malveillant au site Web vuln\u00e9rable, qui renvoie l&#8217;attaque au navigateur de l&#8217;utilisateur.<\/p>\n<p>Cet \u00e9l\u00e9ment d&#8217;ing\u00e9nierie sociale signifie que le XSS r\u00e9fl\u00e9chi n&#8217;a pas la m\u00eame port\u00e9e et la m\u00eame \u00e9chelle que les attaques XSS stock\u00e9es, ce qui incite les acteurs de la menace \u00e0 distribuer le lien malveillant \u00e0 autant de victimes que possible.<\/p>\n<p>&#8220;[A reflected XSS attack] est g\u00e9n\u00e9ralement le r\u00e9sultat de demandes entrantes qui ne sont pas suffisamment filtr\u00e9es, ce qui permet la manipulation des fonctions d&#8217;une application Web et l&#8217;activation de scripts malveillants \u00bb, Imperva <a rel=\"nofollow noopener\" href=\"https:\/\/www.imperva.com\/learn\/application-security\/reflected-xss-attacks\/\" target=\"_blank\">Remarques<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/Une-nouvelle-vulnerabilite-dans-le-plugin-WordPress-populaire-expose-plus.png\" alt=\"Plug-in WordPress\" border=\"0\" data-original-height=\"262\" data-original-width=\"728\" title=\"Plug-in WordPress\"\/><\/div>\n<p>Il convient de noter que CVE-2023-30777 peut \u00eatre activ\u00e9 sur une installation ou une configuration par d\u00e9faut des champs personnalis\u00e9s avanc\u00e9s, bien qu&#8217;il ne soit possible de le faire qu&#8217;\u00e0 partir d&#8217;utilisateurs connect\u00e9s qui ont acc\u00e8s au plugin.<\/p>\n<p>Le d\u00e9veloppement intervient alors que Craft CMS a corrig\u00e9 deux failles XSS de gravit\u00e9 moyenne (<a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/advisories\/GHSA-wv7j-rc2q-9j67\" target=\"_blank\">CVE-2023-30177<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/craftcms\/cms\/security\/advisories\/GHSA-j4mx-98hw-6rv6\" target=\"_blank\">CVE-2023-31144<\/a>) qui pourraient \u00eatre exploit\u00e9es par un acteur malveillant pour servir des charges utiles malveillantes.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>Cela fait \u00e9galement suite \u00e0 la divulgation d&#8217;une autre faille XSS dans le produit cPanel (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-29489\" target=\"_blank\">CVE-2023-29489<\/a>score CVSS : 6.1) qui pourraient \u00eatre exploit\u00e9es sans aucune authentification pour ex\u00e9cuter du JavaScript arbitraire.<\/p>\n<p>&#8220;Un attaquant peut non seulement attaquer les ports de gestion de cPanel, mais \u00e9galement les applications qui s&#8217;ex\u00e9cutent sur les ports 80 et 443&#8221;, a d\u00e9clar\u00e9 Shubham Shah d&#8217;Assetnote. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.assetnote.io\/2023\/04\/26\/cpanel-xss-advisory\/\" target=\"_blank\">a dit<\/a>l&#8217;ajouter pourrait permettre \u00e0 un adversaire de d\u00e9tourner la session cPanel d&#8217;un utilisateur valide.<\/p>\n<p>&#8220;Une fois agissant au nom d&#8217;un utilisateur authentifi\u00e9 de cPanel, il est g\u00e9n\u00e9ralement trivial de t\u00e9l\u00e9charger un shell Web et d&#8217;obtenir l&#8217;ex\u00e9cution de la commande.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/new-vulnerability-in-popular-wordpress.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 mai 2023\ue804Ravie Lakshmanan Les utilisateurs du plugin Advanced Custom Fields pour WordPress sont invit\u00e9s \u00e0 mettre \u00e0 jour la version 6.1.6 suite \u00e0 la d\u00e9couverte d&#8217;une faille de s\u00e9curit\u00e9. Le probl\u00e8me, auquel est attribu\u00e9 l&#8217;identifiant CVE-2023-30777, concerne un cas de script intersite r\u00e9fl\u00e9chi (XSS) qui pourrait \u00eatre utilis\u00e9 \u00e0 mauvais escient pour injecter des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":720818,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,4168,4158,4165,4161,6124,429,16209,4157,4159,4171,4170,4167,1610,4160,197,4163,4162,51599,440,4172,4169,2783,196,4166,3667,4164,51600],"class_list":["post-720817","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberattaques","tag-dans","tag-expose","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-millions","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-plugin","tag-populaire","tag-securite-informatique","tag-securite-internet","tag-sites","tag-une","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/720817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=720817"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/720817\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/720818"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=720817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=720817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=720817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}