La récente découverte d'une vulnérabilité critique de type cross-site scripting (XSS) dans les versions 3.1.6 et inférieures du populaire plugin WP Adminify est extrêmement préoccupante pour les propriétaires de sites WordPress. Cette vulnérabilité, si elle est exploitée, pourrait permettre aux attaquants d'injecter du code JavaScript malveillant dans les tableaux de bord d'administration et les sites en façade.
Comme l'a signalé le chercheur en sécurité Rio Darmawan, cette vulnérabilité provient d'une désinfection insuffisante des entrées dans le code du plugin. Il est fortement conseillé aux administrateurs de sites utilisant des versions vulnérables de WP Adminify de mettre à jour ou de supprimer immédiatement le plugin. Malheureusement, au moment de la rédaction de cet article, aucune version corrigée ne semble être disponible.
Pour les propriétaires de sites qui ne peuvent pas mettre à jour ou supprimer WP Adminify, des précautions supplémentaires sont nécessaires. L'activation d'un pare-feu d'application Web (WAF) comme le plugin de pare-feu WordPress gratuit de wp-firewall.com peut fournir une couche de protection supplémentaire pendant le développement d'un correctif. Un WAF inspecte le trafic entrant et bloque les tentatives XSS et autres attaques avant qu'elles n'atteignent le site.
Les vulnérabilités XSS étant parmi les plus courantes et les plus dangereuses auxquelles sont confrontés les sites WordPress aujourd'hui, nous invitons les utilisateurs de WP Adminify à agir. Migrez vers une alternative sûre ou implémentez des mesures d'atténuation temporaires comme un WAF. Ne laissez pas votre site et vos données exposés !
Les lecteurs peuvent améliorer leur sécurité WordPress en s'inscrivant au plugin de pare-feu WordPress gratuit de wp-firewall.com via leur page de tarification : https://wp-firewall.com/pricing/
source: vuldb.com
Français 
English 
简体中文 
香港中文 
繁體中文 
日本語 
Español 
العربية 
हिन्दी 
বাংলা