Le mercredi 4 juin 2014,

Les passionnés de la sécurité chez Sucuri ont trouvé deux failles importantes dans la sécurité du très populaire module WordPress « All In One SEO Pack ». Effectivement, avec plus de 18 millions de téléchargements, nous croyons que tout utilisateur WordPress devrait être au courant de cette situation.

Ces brèches de sécurité permettraient aux attaquants d’accéder à des comptes utilisateur n’ayant pas des accès administratifs (utilisateur, auteur et autres non-administrateurs), d’élever leurs privilèges et d’injecter du code malicieux dans le panneau de contrôle administratif.

Soyez rassuré, l’équipe qui a créé le module en question a déjà mis disponible un « patch » qui corrige ce problème.

Marc-Alexandre Montpas, auteur de l’article portant sur ce sujet sur le blogue de Sucuri, explique plus en détail comment une personne malintentionnée pourrait utiliser ces failles et créer une escalade des privilèges d’un utilisateur n’ayant pas de droits administratifs.