Une faille de sécurité critique dans le plugin Everest Forms Pro pour WordPress permet aux attaquants de prendre le contrôle total du site. La vulnérabilité, déjà confirmée, affecte des milliers d'utilisateurs qui dépendent de ce complément pour créer des formulaires de contact et d'inscription. Pour les visiteurs, le risque est direct : leurs données personnelles pourraient être exposées si l'administrateur ne met pas à jour le plugin vers sa version la plus récente.
Comment la faille opère et quelles versions sont à risque 🛡️
La brèche réside dans une fonction de téléchargement de fichiers sans validation adéquate. Un attaquant non authentifié peut envoyer des fichiers malveillants au serveur, comme des scripts PHP, et les exécuter pour prendre le contrôle du site. Les versions concernées sont Everest Forms Pro antérieures à la 2.0.7. La solution est de mettre à jour immédiatement. Si vous utilisez ce plugin, vérifiez la version dès aujourd'hui ; si vous êtes un utilisateur d'un site qui l'emploie, ne saisissez pas de données avant d'avoir confirmé la mise à jour.
Le plugin qui a demandé des données puis a demandé pardon 😅
Ce qui est curieux, c'est que beaucoup ont installé Everest Forms Pro précisément pour protéger les informations de leurs utilisateurs. Il s'avère maintenant que le gardien avait besoin d'être sauvé lui-même. C'est comme embaucher un vigile qui se révèle être celui qui ouvre la porte dérobée. Donc, si votre site web demandait des données personnelles avec ce plugin, c'est peut-être le bon moment pour présenter des excuses et se dépêcher de mettre à jour.