La vulnérabilité du plugin ACF WordPress affecte jusqu'à +2 millions de sites

Publié le 4 avril 2022, modifié le 19 avril 2024 par Lucie Blanchard

Vulnérabilité d’autorisation manquante …permet à un attaquant distant authentifié d’afficher les informations sur la base de données sans l’autorisation d’accès. Ce type de vulnérabilité permet à un attaquant d’accéder au site à des niveaux habituellement réservés aux utilisateurs disposant de privilèges d’administrateur.

    Pour les utilisateurs ACF Pro, cela signifie mettre à jour vers Advanced Custom Fields Pro 5.12.2"
  • Vulnérabilité d'autorisation manquante dans le plugin WordPress Advanced Custom Fields
  • Cette faille permet à des utilisateurs authentifiés avec un certain niveau d'accès d'accéder aux informations de la base de données sans autorisation
  • Plus de 2 millions de sites sont affectés par cette vulnérabilité
  • La faille a été corrigée dans les versions ACF 5.12.1 et ACF Pro 5-12-1/strong>

Plugin WordPress des champs personnalisés avancés (ACF)

Le plugin ACF WordPress est un outil de développement populaire qui permet aux développeurs d’ajouter des champs personnalisés à l’écran d’édition ainsi que de personnaliser les sections pour les utilisateurs, les publications, les médias et d’autres domaines.

L’outil ACF permet aux développeurs d’étendre les thèmes WordPress de plusieurs façons, ce qui explique pourquoi il existe des millions d’installations actives.

Vulnérabilité d’autorisation manquante

Une vulnérabilité d’autorisation manquante se produit lorsqu’un logiciel tel qu’un plugin WordPress ne vérifie pas l’autorisation d’un utilisateur lors de l’accès à des informations spécifiques.

Ce type de vulnérabilité peut entraîner l’exposition d’informations sensibles et des attaques d’exécution de code à distance.

Attaquant authentifié à distance

Cette vulnérabilité particulière exploite une vérification d’autorisation manquante pour les utilisateurs qui ont un certain niveau d’authentification.

Cela signifie que les utilisateurs disposant au moins d’un niveau d’authentification d’éditeur, d’auteur ou de contributeur peuvent accéder aux privilèges de niveau administrateur afin d’afficher les informations de la base de données.

Selon les informations les plus récentes du centre de coordination de l’équipe japonaise d’intervention en cas d’urgence informatique  :

« Le plugin WordPress « Advanced Custom Fields » fourni par Delicious Brains contient une vulnérabilité d’autorisation manquante…

Les utilisateurs de ce produit (éditeur, auteur, contributeur) peuvent consulter les informations de la base de données sans autorisation d’accès. »

La base de données nationale des vulnérabilités des États-Unis lui a attribué un numéro de référence CVE, CVE-2022-23183

Journal des modifications ACF

Un journal des modifications est un journal détaillant toutes les modifications apportées à chaque version d’un logiciel.

Il est difficile de dire lesquelles des modifications détaillées dans le journal des modifications sont liées à la correction de la vulnérabilité, car le journal des modifications ACF ne dit pas explicitement que quelque chose est un correctif de sécurité, il les étiquette simplement comme un « correctif ».

Le journal des modifications du plugin ACF WordPress ne note pas explicitement qu’un problème de sécurité a été résolu.

Une partie du journal des modifications ACF indique simplement  :

« Correctif – ACF valide désormais l’accès aux valeurs de champ de la page d’options lors de l’accès via les clés de champ de la même manière que les noms de champ. Voir plus

Correction – L’API REST valide désormais correctement les champs pour les demandes de mise à jour POST »

Le lien « Afficher plus » mène à un explicatif sur le site Web d’ACF qui dit  :

« … Les appels à get_field() ou the_field() sur les options WordPress non-ACF renverront également null. Cependant, l’utilisation de ces fonctions pour récupérer n’importe quelle méta de publication, d’utilisateur ou de terme renverra la valeur, que la méta soit ou non un champ ACF.

… Dans ACF 5.12.1, ces restrictions s’appliquent désormais correctement lors de l’utilisation d’une clé de champ pour accéder à une valeur d’option, de la même manière que l’utilisation du nom de champ.

« Utilisation des fonctions ACF pour récupérer des données depuis l’extérieur d’ACF. »

La vulnérabilité des champs personnalisés avancés est corrigée

La vulnérabilité ACF affecte toutes les versions antérieures à Advanced Custom Fields 5.12.1 et Advanced Custom Fields Pro 5.12.1.

Le centre de coordination de l’équipe d’intervention d’urgence informatique du Japon recommande à tous les utilisateurs du plug-in de mettre immédiatement à jour les versions ACF 5.12.1.

FAQ

Qu'est-ce que désigne le terme "attributs de la vulnérabilité" ?

Le terme "attributs de la vulnérabilité" désigne un ensemble de caractéristiques ou de facteurs qui rendent une personne ou une communauté plus susceptible d'être affectée par des crises ou des situations critiques. Cela peut inclure des éléments tels que l'âge, le genre, le statut socio-économique, la santé physique et mentale, ainsi que les facteurs environnementaux et politiques. Ces attributs peuvent rendre les individus plus sensibles aux risques et plus difficiles à protéger en cas de situation difficile.

Quelles sont les différentes formes présentes dans les fichiers PDF de vulnérabilités ?

Les fichiers PDF peuvent contenir différentes formes de vulnérabilités, notamment les failles de sécurité, les virus et les malwares. Ces vulnérabilités peuvent être utilisées par des cybercriminels pour accéder à nos données personnelles ou infecter notre ordinateur.

Il est donc important de s'assurer que nos fichiers PDF sont sécurisés et à jour pour éviter tout risque potentiel. Des solutions telles que l'utilisation de logiciels antivirus et la mise à jour régulière des systèmes d'exploitation peuvent contribuer à renforcer la sécurité des fichiers PDF contre ces différentes formes de vulnérabilités.

Existe-t-il une liste recensant les vulnérabilités de WordPress ?

Il existe en effet plusieurs listes recensant les vulnérabilités de WordPress, telles que la base de données CVE (Common Vulnerabilities and Exposures) et le WPScan Vulnerability Database. Ces listes sont régulièrement mises à jour avec les dernières failles de sécurité découvertes dans WordPress.

Il est important pour les utilisateurs de consulter ces listes afin de se tenir informés des potentielles vulnérabilités et de prendre les mesures nécessaires pour protéger leur site.

News Qwanturank

  • La vulnérabilité de WordPress atteint +1 million en utilisant le plugin d'en-tête et de pied de page
  • La vulnérabilité du plugin WordPress Ultimate Member permet une prise de contrôle complète du site
  • La vulnérabilité dans WordPress Le plugin Qwanturank Analytics touche plus de 3 millions de sites Web
  • Les données confirment une augmentation des vulnérabilités WordPress
  • Mise à jour WordPress 6.2.1 provoquant la rupture des sites
    • Categories: SEO
    Lucie Blanchard

    Lucie Blanchard

    S’abonner
    Notification pour
    guest

    Commentaires
    Commentaires en ligne
    Afficher tous les commentaires
    SEO

    La documentation de Google Crawler a une nouvelle liste d'adresses IP

    Google a mis à jour sa documentation sur Googlebot et ses robots d'exploration pour ajouter une gamme d'adresses IP pour les robots déclenchés par les utilisateurs de produits Google. Les noms des flux ont changé, ...

    SEO

    Google a révisé la documentation Favicon

    Google a révisé sa documentation sur les favicons afin d'ajouter des définitions en réponse aux questions des utilisateurs reçues sur les favicons et sur ce qu'il faut utiliser. La version mise à jour de la ...

    SEO

    Google explique un résultat étrange de migration de domaine

    John Mueller de Google a expliqué pourquoi les migrations de noms de domaine entre plusieurs versions linguistiques d'un même site Web se sont révélées très différentes, même si le même processus a été suivi pour ...

    0
    Nous aimerions avoir votre avis, veuillez laisser un commentaire.x