Le Blocs Kadence plugin, qui est utilisé sur plus de 300 000 sites WordPress, a corrigé une vulnérabilité critique dans sa capacité de téléchargement de fichiers Advanced Form Block. La version 3.1.11, publiée le 8 août 2023, corrige le problème de sécurité avec les téléchargements de formulaires.
L’équipe de développement du plugin prend de l’avance sur la situation en publiant un consultatif sur leur blog, avec une brève description de la vulnérabilité et de son potentiel d’exploitation.
Le Kadence Advanced Form Block, introduit dans Kadence Blocks 3.1, offre aux propriétaires de sites la possibilité d’ajouter une fonctionnalité de téléchargement de fichiers sur leur site. Le code dans le bloc de formulaire avancé n’avait pas suffisamment de tests pour limiter les types de fichiers pouvant être téléchargés. Cela pourrait permettre aux attaquants de télécharger un fichier prétendant être un type d’image valide contenant en fait du code PHP malveillant. Ce code PHP pourrait être malveillant et, ce faisant, prendre le contrôle d’un site Web WordPress vulnérable. L’exploitation de cette vulnérabilité nécessiterait un paramétrage au niveau du serveur qui serait considéré comme non sécurisé. La plupart des fournisseurs d’hébergement premium sécurisent les dossiers de téléchargement de l’exécution PHP au niveau du serveur, bien que de nombreux fournisseurs d’hébergement à petit budget ne le fassent pas.
Le développeur de Kadence Blocks, Ben Ritner, a déclaré que les sites qui n’utilisent pas la capacité de téléchargement de fichiers Advanced Form Block ne sont pas soumis à cette vulnérabilité. À l’heure actuelle, la vulnérabilité n’est pas connue pour avoir été exploitée.
Les utilisateurs de Kadence Blocks sont encouragés à mettre à jour immédiatement et à vérifier les utilisateurs inattendus, les comptes d’administrateur et les modifications de contenu. L’avis inclut également des moyens de rendre les téléchargements de fichiers plus sécurisés, notamment en limitant le type de fichier, en ajoutant une authentification et en analysant les virus.
Source link