Les chercheurs en sécurité ont récemment découvert que la clé utilisée par WP-Slimstat WordPress plug-in afin de signer les données échangées entre le serveur et le client, qui devait être «secret» était en fait très facile à craquer. Selon les experts en sécurité, les cyber-criminels ne exigeraient 10 minutes pour trouver cette clé de chiffrement.
Les utilisateurs de WordPress appliquent le WP-Slimstat WordPress plug-in afin d'obtenir des analyses. Le plug-in fournit des informations telles que le temps de latence du serveur, le journal en temps réel, les rapports électroniques et les cartes de chaleur. Puis, l'information peut être exporté vers un tableur Excel.
Le WP-Slimstat WordPress Plug-in a été téléchargé plus de 1.3 million de fois après avoir été publié, selon les données de téléchargement sur sa page. Cela signifie que le plug-in a une grande popularité et cela provoque l'intérêt des cybercriminels ainsi, qui cherchent à vérifier les vulnérabilités indiquées.
Risque d'une injection SQL aveugles avance
Les chercheurs en sécurité Sucuri ont découvert que la clé utilisée par WP-Slimstat plug-in qui était censé être difficile à casser est générée sur les données d'installation de ce plug-in et est la valeur de hachage MD5, il.
Cela signifie que les cybercriminels peuvent utiliser des sites comme Internet Archive de deviner l'année, le site a été mis en ligne. Puis les attaquants devront tester certaines 30 million de valeurs et qui nécessite juste quelques minutes grâce à la CPU moderne.
La vulnérabilité du plug-in court le risque d'une attaque avec une injection SQL aveugles, qui pourrait conduire à la fuite d'informations sensibles à partir de la base de données du site, y compris les noms d'utilisateur et mots de passe. Dans certaines situations spécifiques, les clés secrètes WordPress pourraient être immédiatement divulgués et qui pourrait conduire à la reprise site complet.
Nouveau plug-in de sortie
Récemment a été publié une nouvelle 3.9.6 version du WP-Slimstat WordPress Plug-in, visant à supprimer cette vulnérabilité. Dans cette version de la clé de cryptage est d'une plus grande difficulté et les requêtes SQL sont serrés.
Les utilisateurs sont fortement recommandés pour passer à cette nouvelle version du plug-in et reçoivent des instructions sur la façon de faire de sorte que le code de suivi peut se appuyer sur les dernières améliorations.
La nouvelle 3.9.6 version du WP-Slimstat WordPress Plug-in informe les utilisateurs du plug-in pour vider la mémoire cache afin de se assurer que le code de suivi est régénéré avec la nouvelle clé. Le code de suivi pour les sites Web externes devrait également être remplacé par un nouveau qui est disponible sur Paramètres - Avancé.