L'équipe Wordfence de la société de sécurité WordPress ‘Defiant’ prévient d'une augmentation des attaques ciblant une vulnérabilité non corrigée pour le plugin WordPress WPBakery Page Builder.

Suivi sous le nom de CVE-2021-24284 avec un score CVSS maximal de 10.0, ce bogue permet à un attaquant non authentifié de télécharger des fichiers PHP malveillants sur un site vulnérable, ce qui peut permettre l'exécution de code à distance.

Selon Wordfence, un attaquant peut exploiter la faille pour injecter du code JavaScript malveillant dans n'importe quel fichier de l'installation WordPress et prendre complètement le contrôle d'un site vulnérable.

Lorsqu'elle a été découverte, la faille était activement exploitée, et Wordfence a averti les administrateurs de sites Web WordPress que le plugin avait été fermé sans correctif, en leur demandant de le supprimer immédiatement.

Un an après sa divulgation, la société a trouvé qu’entre 4 000 et 8 000 sites continuent d’utiliser le plugin, ce qui les expose à des attaques malveillantes.

Wordfence a constaté, au cours des deux dernières semaines, une augmentation massive du nombre de tentatives d'attaques visant la vulnérabilité, avec une moyenne de 440 000 par jour. Ces attaques proviennent de 10 215 adresses IP, dont cinq sont à l'origine de la majorité des attaques.

"Pour l'instant, le plugin a été fermé et son développeur n'a pas réagi concernant un correctif. La meilleure option est de supprimer complètement le plugin du site Web WordPress", note Wordfence.