Des chercheurs ont averti sur une vulnérabilité XSS (cross-site scripting) dans le plugin SEOPress de WordPress qui pourrait permettre à un attaquant de prendre complètement le contrôle d'un site web.

La faille permet à un attaquant d'injecter des scripts web arbitraires sur un site vulnérable. Ces scripts s'exécutent chaque fois qu'un utilisateur accède à la page "All Posts".

Le plugin SEOPress vulnérable est installé sur plus de 100 000 sites web. Chloe Chamberland, une analyste des menaces chez Wordfence, met en garde : "Comme toujours, les vulnérabilités XSS telles que celle-ci peuvent conduire à une variété d'actions malveillantes telles que la création de nouveaux comptes administratifs, l'injection de webshell, des redirections arbitraires, et plus encore.

"Cette vulnérabilité pourrait facilement être utilisée par un attaquant pour prendre le contrôle d'un site WordPress".

Le problème a été corrigé par WordPress dans la version 5.0.4. Il est recommandé aux utilisateurs de mettre à jour le plugin immédiatement.