Planification SEM pour 2024 : parce que 2023 ne vous a pas préparé
Préparez-vous pour 2024 avec un plan SEM solide. Apprenez à surmonter les défis et à optimiser vos efforts de marketing de recherche pour des résultats optimaux.
31 janvier 2024
Une vulnérabilité importante a été corrigée dans le Website Builder de SeedProd, qui compte plus de 900 000 installations. Cette vulnérabilité, présente dans les versions jusqu'à la 6.15.21 incluse, présente un risque de modification non autorisée des données sur les sites WordPress.
La vulnérabilité découverte est appelée vérification de capacité manquante dans la fonction 'seedprod_lite_new_lpage'.
Les capacités sont des actions spécifiques que les utilisateurs ou les rôles sont autorisés à effectuer. Une vérification des capacités est une fonctionnalité de sécurité importante dans WordPress pour la gestion des autorisations et des contrôles d'accès. Ils déterminent si un utilisateur a le pouvoir d'effectuer une action spécifique.
C'est similaire à une vérification de rôle dans la mesure où une vérification de rôle vérifie le rôle de l'utilisateur (comme administrateur, éditeur, etc.), tandis qu'une vérification de capacité vérifie si l'utilisateur dispose d'autorisations spécifiques. Une vérification de capacité fournit un contrôle plus granulaire sur les autorisations par rapport à une vérification de rôle.
La vérification des capacités manquantes permet à des attaquants non authentifiés de modifier potentiellement le contenu de diverses pages créées à l'aide du plugin, telles que les pages à venir ou de maintenance. L’absence de ce dispositif de sécurité expose les sites Internet à des risques de falsification des données.
La modification non autorisée des données constitue un grave problème de sécurité. Cela résulte d’une faille permettant à des personnes non autorisées de modifier des données, conduisant ainsi à des exploits potentiels. Il est fortement recommandé de remédier à ce type de vulnérabilité dans le plugin Website Builder.
La vulnérabilité est notée 8,2 sur une échelle de 1 à 10, avec un indice de gravité classé comme « élevé » selon le Common Vulnerability Scoring System (CVSS). La note élevée indique la gravité de l’impact potentiel.
Cette vulnérabilité est si nouvelle qu'il n'y a actuellement aucune entrée dans la base de données nationale sur les vulnérabilités pour le numéro CVE attribué CVE-2024-1072.
Cependant, les chercheurs en sécurité de Wordfence WordPress ont souligné la gravité de la vulnérabilité Website Builder by SeedProd :
"Cela permet à des attaquants non authentifiés de modifier le contenu des prochaines pages de maintenance, de connexion et des pages 404 configurées avec le plugin."
L'éditeur du Website Builder de SeedProd a répondu en publiant une version mise à jour, 6.15.22, qui corrige cette vulnérabilité. La mise à jour inclut une exception de sécurité pour atténuer le risque, et il est fortement conseillé aux utilisateurs du plugin de mettre à jour immédiatement pour sécuriser leur site Web contre les attaques.
Concernant le nonce, WordPress explique de quoi il s’agit :
Un nom occasionnel est un « numéro utilisé une fois » pour aider à protéger les URL et les formulaires contre certains types d'utilisation abusive, malveillante ou autre.
…Ils aident à se protéger contre plusieurs types d’attaques…”
Lisez l'annonce de Wordfence :
Lire le journal des modifications officiel de SeedProd
Image en vedette par Shutterstock/Nikulina Tatiana
Préparez-vous pour 2024 avec un plan SEM solide. Apprenez à surmonter les défis et à optimiser vos efforts de marketing de recherche pour des résultats optimaux.
Le carrousel du forum de Google suscite un débat, soulevant des inquiétudes concernant la désinformation et incitant l'entreprise à réagir.
YouTube introduit de nouvelles informations sur les impressions, permettant aux chaînes de voir une répartition des téléspectateurs nouveaux et connus.