1,3 Million de sites WordPress vulnérables à cause du plugin analytics WP-SlimStat

Une faille de très critique vient d’être découverte dans l’un des plus populaires plugins qui risque de faciliter le de plus 1,3 million de sites.

Cette vulnérabilité se trouverait actuellement dans toutes les versions du dénommé Wettable Powder Slimstat (ou tout simplement WP Slimstat).

1,3 Millions de sites WordPress vulnérables à cause du plugin analytics WP-SlimStat

Il s’agit d’un plugin Analytics qui fournit des statistiques de trafic et des performances des serveurs en temps réel.

Selon le site Sucuri, toutes les versions de WP-Slimstat avant la dernière version 3.9.6 contiennent une clé “secrète” facile à trouver (chiffrement du timestamp avec un algorithme MD5 au moment de l’installation) qui est utilisée pour protéger toutes les données envoyées vers et depuis les ordinateurs des utilisateurs finaux.

Or, depuis des sites tels que Archive.org, il est possible pour un pirate de retrouver la date à laquelle le plugin a été installé.

Une fois cette clé secrète trouvée, le pirate pourra alors injecter du code SQL pour exploiter la faille de sécurité afin de récupérer des informations sensibles depuis la base de données.

Y compris les mots de passe même cryptés et les autres clés de chiffrement utilisées à distance pour administrer le site .

Si vous utilisez WP-Slimstat, il est temps de le mettre à jour.