{"id":806668,"date":"2023-06-29T07:05:37","date_gmt":"2023-06-29T09:05:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-faille-de-securite-critique-dans-le-plugin-de-connexion-sociale-pour-wordpress-expose-les-comptes-des-utilisateurs\/"},"modified":"2023-06-29T07:05:40","modified_gmt":"2023-06-29T09:05:40","slug":"une-faille-de-securite-critique-dans-le-plugin-de-connexion-sociale-pour-wordpress-expose-les-comptes-des-utilisateurs","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-faille-de-securite-critique-dans-le-plugin-de-connexion-sociale-pour-wordpress-expose-les-comptes-des-utilisateurs\/","title":{"rendered":"Une faille de s\u00e9curit\u00e9 critique dans le plugin de connexion sociale pour WordPress expose les comptes des utilisateurs"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 juin 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>S\u00e9curit\u00e9 \/ Vuln\u00e9rabilit\u00e9 du site Web<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Une faille de s\u00e9curit\u00e9 critique a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans le Plugin de connexion et d’enregistrement social<\/a> pour WordPress qui pourrait permettre \u00e0 un acteur malveillant de se connecter car toute information fournie par l’utilisateur sur l’adresse e-mail est d\u00e9j\u00e0 connue.<\/p>\n

Suivi comme CVE-2023-2982 (score CVSS\u00a0: 9,8), la faille de contournement d’authentification affecte toutes les versions du plug-in, y compris et ant\u00e9rieures \u00e0 7.6.4. Il a \u00e9t\u00e9 r\u00e9solu le 14 juin 2023, avec la publication de la version 7.6.5 suite \u00e0 la divulgation responsable le 2 juin 2023.<\/p>\n

“La vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant non authentifi\u00e9 d’acc\u00e9der \u00e0 n’importe quel compte sur un site, y compris les comptes utilis\u00e9s pour administrer le site, si l’attaquant conna\u00eet ou peut trouver l’adresse e-mail associ\u00e9e”, a d\u00e9clar\u00e9 le chercheur de Wordfence, Istv\u00e1n M\u00e1rton. a dit<\/a>.<\/p>\n

Le probl\u00e8me est enracin\u00e9 dans le fait que la cl\u00e9 de cryptage utilis\u00e9e pour s\u00e9curiser les informations lors de la connexion \u00e0 l’aide de comptes de m\u00e9dias sociaux est cod\u00e9e en dur, ce qui conduit \u00e0 un sc\u00e9nario o\u00f9 les attaquants pourraient cr\u00e9er une demande valide avec une adresse e-mail correctement crypt\u00e9e utilis\u00e9e pour identifier l’utilisateur. .<\/p>\n

Si le compte appartient \u00e0 l’administrateur du site WordPress, cela pourrait entra\u00eener un compromis complet. Le plugin est utilis\u00e9 sur plus de 30 000 sites.<\/p>\n

\"La<\/a><\/center><\/div>\n

L’avis fait suite \u00e0 la D\u00e9couverte<\/a> d’une faille de grande gravit\u00e9 affectant Plug-in LearnDash LMS<\/a>un plugin WordPress avec plus de 100 000 installations actives, qui pourrait permettre \u00e0 tout utilisateur disposant d’un compte existant de r\u00e9initialiser des mots de passe utilisateur arbitraires, y compris ceux disposant d’un acc\u00e8s administrateur.<\/p>\n

Le bogue (CVE-2023-3105, score CVSS : 8,8) a \u00e9t\u00e9 corrig\u00e9 dans la version 4.6.0.1 qui a \u00e9t\u00e9 livr\u00e9e le 6 juin 2023.<\/p>\n

Cela vient aussi des semaines apr\u00e8s Patchstack d\u00e9taill\u00e9<\/a> une falsification de requ\u00eate intersite (CSRF<\/a>) vuln\u00e9rabilit\u00e9 dans le Plug-in UpdraftPlusComment<\/a> (CVE-2023-32960, score CVSS\u00a0: 7,1) qui pourrait permettre \u00e0 un attaquant non authentifi\u00e9 de voler des donn\u00e9es sensibles et d’\u00e9lever les privil\u00e8ges en incitant un utilisateur disposant d’autorisations administratives \u00e0 visiter une URL de site WordPress sp\u00e9cialement con\u00e7ue.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n