Une faille de sécurité grave a été détectée dans le plugin WP Maps Pro pour WordPress. La vulnérabilité est activement exploitée par des attaquants pour créer des comptes administrateur sur des sites web. Cela permet de prendre le contrôle total de la page, de voler des données ou de rediriger les utilisateurs vers des sites frauduleux. Si vous utilisez ce plugin, vous devez le mettre à jour ou le désactiver immédiatement pour éviter de perdre l'accès à votre site.
Détails techniques de l'exploitation et correctif disponible 🛡️
La vulnérabilité réside dans un manque de validation des requêtes AJAX du plugin, ce qui permet à un attaquant non authentifié d'exécuter des fonctions privilégiées. Via une requête malveillante, il est possible de créer un utilisateur avec le rôle d'administrateur sans nécessiter d'identifiants préalables. Les développeurs ont publié une mise à jour de sécurité qui corrige le défaut. Il est recommandé d'appliquer le correctif ou de désactiver le plugin jusqu'à confirmation de l'installation correcte.
Le plugin qui vous offre un compte admin à n'importe quel inconnu 😱
On dirait que WP Maps Pro a décidé de rendre service aux hackers : leur ouvrir la porte de votre site sans demander. C'est comme laisser la clé sur la serrure de votre maison avec un panneau disant entrez donc. Le pire, c'est que l'attaquant n'a même pas besoin d'être un génie de la programmation ; il lui suffit de lancer une requête et hop, il a déjà son propre bureau WordPress. Heureusement que les cartes sont si utiles, n'est-ce pas ?