si vous utilisez le plugin Squirrly SEO sur votre plateforme WordPress, c’est le moment de le mettre à jour car 2 vulnérabilités jugées critiques ont été découvertes.
Squirrly SEO, 2 failles dans les versions 6.1.4 et antérieures
Si comme moi, vous utilisez ce plugin wordpress pour améliorer votre référencement dans les moteurs de recherche, alors je vous recommande chaudement de le mettre à jour immédiatement puisque deux failles viennent d’être découvertes et elles sont jugées très critique au point d’obtenir un score CVSS (Common Vulnerability Scoring System) de 8.1 et 8.8 sur 10.
La première, la « moindre grave » ou plutôt celle qui a obtenu le score le plus faible permet une escalade de privilège. Pour cela, un attaquant qui utiliserait cette faille sur un site utilisant Squirrly SEO et autorisant les inscriptions pourrait modifier les réglages du plugin comme modifier le favicon, envoyer des images sur le serveur ou modifier les réglages SEO d’un article. La dangerosité vient de la possibilité d’envoyer des images piégées permettant à l’attaquant d’exécuter des commandes supplémentaires par le biais de cette image spécialement créée.
La seconde vulnérabilité, si elle est exploitée, permet quant à elle, de télécharger n’importe quels fichiers présents sur l’espace d’hébergement, y compris le fichier wp-config.php, qui contient l’accès à votre base de donnée ! Ce qui lui permet dans le meilleur des cas, d’obtenir l’accès total à votre site. Pour l’utiliser, il faut que Squirrly SEO soit paramétré d’une certaine manière (rien n’a été précisé pour le moment, la faille est trop récente et pourrait encore être exploité) et qu’un favicon soit présent.
Selon le site wordpress, ce plugin est utilisé par plus de 20 000 sites web, ce qui fait de lui une cible de choix pour des cybercriminels. Il est donc fortement recommandé de passer immédiatement à la version 6.1.5 de Squirrly SEO