Une faille comblée dans l'urgence sur les sites Wordpress
Durant les derniers jours, 1,7 million de sites utilisant Wordpress ont eu droit à une mise à jour forcée.
Le module mis à jour porte le nom d'UpdraftPlus. Il permet de faciliter la sauvegarde de la base de donnée des sites et leur restitution en cas de problème.
Une faille très simple à exploiter dans ce module permettait à un tiers de récupérer l'intégralité de la sauvegarde et ainsi d'accéder à l'intégralité des données. Il suffisait pour cela d'avoir un compte sur le site cible, même sans aucun privilège.
Le chercheur en sécurité qui a découvert la faille l'a communiquée en privé aux développeurs qui l'ont corrigée. Elle n'a donc a priori pas été exploitée.