in Internet

Plugin de grattoir WordPress compromis par vulnérabilité de sécurité

845 Views


Un plugin WordPress qui publie automatiquement du contenu gratté des autres sites Web a été découvert qu'il contenait une vulnérabilité critique qui permet à quiconque de télécharger des fichiers malveillants sur des sites Web affectés. La gravité de la vulnérabilité est évaluée à 9,8 sur une échelle de 1-10.

Plugin post-générateur Crawlomatic Multisite Scraper pour WordPress

Le plugin WordPress Crawlomatic est vendu via le magasin Envato Codecananyon pour 59 $ par licence. Il permet aux utilisateurs de ramper des forums, des statistiques météorologiques, des articles de RSS Feeds et de gratter directement le contenu des autres sites Web, puis de publier automatiquement le contenu sur le site Web de l'utilisateur.

La page Web Envato Codecananyon du plugin dispose d'une bannière qui note que l'auteur du plugin a été reconnu pour avoir satisfait aux «normes de qualité WordPress» et affiche un badge indiquant qu'il est «conforme aux exigences en envato WP», une indication qu'il répond aux «standards de sécurité, de performance et de codage d'Envato dans les plugins et les thèmes de WordPress».

La page du répertoire du plugin explique qu'il peut ramper et gratter pratiquement n'importe quel site Web, y compris des sites basés sur JavaScript, promettant qu'il peut transformer le site Web d'un utilisateur en une «machine à gagner de l'argent».

Téléchargement de fichiers arbitraires non authentifié

Le plugin WordPress Crawlomatic manque une vérification de validation de type FileType dans toute la version avant et incluant la version 2.6.8.1.

Selon un avertissement publié sur Wordfence:

«Le plugin de générateur post-gratte-cramper multipage Crawlomatic pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de la validation du type de fichier manquant dans la fonction crawlomatic_generate_featered_image () dans toutes les versions jusqu'à et incluant, 2.6.8.1.

Les utilisateurs du plugin sont recommandés par WordFence pour mettre à jour au moins la version 2.6.8.2.

En savoir plus sur WordFence:

Crawlomatic Multipage Scraper Post Generator <= 2.6.8.1 - Téléchargement de fichiers arbitraires non authentifié

Image en vedette par Shutterstock / Nakaridore

What do you think?

0 points
Upvote Downvote

Written by manuboss

Récapitulatif quotidien du forum de recherche: 16 mai 2025

Est-il vrai que seulement 2% des sites Web ont été touchés par les récentes mises à jour HCU et les aperçus de l'IA?