Ben DAVAKAN

Vous êtes au bon endroit pour concrétiser vos ambitions sur le web. Parlons-en dès maintenant.
Ben DAVAKAN
+229 01 97 66 25 16

plugin de scraping WordPress compromis par une faille de sécurité

plugin de scraping WordPress compromis par une faille de sécurité

plugin de scraping WordPress compromis par une faille de sécurité

plugin de scraping WordPress compromis par une faille de sécurité

  • Développement web, Site web
Sommaire

Un plugin WordPress qui publie automatiquement du contenu extrait d’autres sites a été identifié avec une **vulnérabilité critique**, permettant à des utilisateurs malveillants de télécharger des fichiers nuisibles sur les sites affectés. Cette faille de sécurité a été évaluée à **9,8 sur 10** sur l’échelle de gravité.

Crawlomatic : Le Générateur de Publication Multisite pour WordPress

Le plugin Crawlomatic pour WordPress est disponible à la vente sur la boutique **Envato CodeCanyon** au prix de 59 $ par licence. Il permet aux utilisateurs d’explorer des forums, de collecter des statistiques météorologiques, d’en extraire des articles à partir de flux RSS, et même de récupérer des contenus directement d’autres sites afin de les publier automatiquement sur leur propre site.

La page du plugin sur Envato CodeCanyon affiche une bannière notant que l’auteur a été reconnu pour avoir satisfait aux « normes de qualité WordPress » et présente un badge indiquant sa conformité avec les « Exigences WordPress d’Envato », un gage de sécurité, qualité, performance et standards de code dans les plugins et thèmes WordPress.

La page de répertoire du plugin stipule qu’il peut explorer et extraire pratiquement n’importe quel site web, y compris ceux basés sur JavaScript, promettant ainsi de transformer le site de l’utilisateur en une « machine à gagner de l’argent ».

Vulnérabilité aux Téléchargements de Fichiers Non Authentifiés

Ce plugin présente une absence de validation des types de fichiers dans toutes les versions jusqu’à et y compris la version **2.6.8.1**.

D’après un avertissement publié par Wordfence :

« Le plugin Crawlomatic Multisite Scraper Post Generator pour WordPress est vulnérable à des téléchargements de fichiers arbitraires, en raison de l’absence de validation des types de fichiers dans la fonction crawlomatic_generate_featured_image() dans toutes les versions jusqu’à, et y compris, la 2.6.8.1. Cela permet aux attaquants non authentifiés de télécharger des fichiers arbitraires sur le serveur du site affecté, rendant ainsi possible l’exécution de code à distance. »

Les utilisateurs de ce plugin sont invités par Wordfence à mettre à jour vers au moins la version **2.6.8.2**.

Pour en savoir plus, consultez Wordfence :

Crawlomatic Multipage Scraper Post Generator <= 2.6.8.1 – Téléchargement de fichiers arbitraires non authentifiés

Image mise en avant par Shutterstock/nakaridore

  • Wordfence Threat Intelligence
  • Envato Market Documentation
  • WPBeginner – Guide des Plugins WordPress
  • Sécurité WordPress – Meilleures Pratiques

Expert web

Vous avez un projet web ? Discutons-en pour lui donner toutes les chances de réussir.

Discutez avec un expert
Derniers articles
Catégories d'articles