Role Scoper et Ultimate Member : 2 plugins WordPress vulnérables
Deux nouveaux plugins WordPress vulnérables ont été repérés et signalés par l’agence High-Tech Bridge : Ultimate Member et Role Scoper. Ces plugins sont touchés par les vulnérabilités de type Cross-Site Scripting (XSS). Mettez à jour vos plugins WordPress.
La semaine dernière l’entreprise de sécurité (IT) High-Tech Bridge, basée en Suisse et à San Francisco, a signalé deux vulnérabilités XSS qui touchent deux plugins WordPress : Ultimate Member et Role Scoper. Plus de 20 000 sites WordPress utilisent ces deux plugins.
Le plugin WordPress Ultimate Member permet de créer des communautés d’utilisateurs avec des profils. Les versions 1.3.28 et inférieures d’Ultimate Member sont concernées par cette vulnérabilité. Le développeur a été mis au courant de la faille et a mis à jour son plugin.
Le plugin Role Scoper permet de gérer les permissions de lecture et d’écriture selon les rôles d’utilisateurs du site – lecteurs, auteurs, contributeurs, etc. Les versions 1.3.66 et inférieures de Role Scoper sont également touchées par cette vulnérabilité. Le développeur indique avoir corrigé la faille de sécurité.
Rappel : la vulnérabilité de Cross-Site Scripting (XSS) permet au pirate de modifier le contenu de vos pages web dans la session de l’utilisateur, de voler des informations – sessions et cookies -, de détourner ou d’usurper l’identité des utilisateurs.
Mettez à jour votre installation WordPress, votre thème et bien sûr vos plugins pour ne pas subir les conséquences d’un piratage de site.
