Les chercheurs en sécurité de l'entreprise Sucuri attirent l'attention sur l'existence d'une grave vulnérabilité dans le plugin WP Statistics. Cette vulnérabilité permet d'attaquer les sites sous WordPress par injection SQL.

Le danger est un peu limité par le fait que l'attaquant doit faire partie des utilisateurs enregistrés. Mais sur les sites qui permettent aux utilisateurs de créer un compte, par exemple sur des sites de e-commerce, cette limitation du danger n'en est bien sûr pas une du tout, au contraire.

Concernant cette vulnérabilité, le problème est que le plugin WP Statistics, comme beaucoup d'autres plugins WordPress, travaille avec des shortcodes, mais que dans son cas, les données utilisateur passées en arguments dans les shortcodes ne sont pas assainies, ce qui permet des attaques par injection SQL. Le billet de blog de Sucuri mentionné plus haut donne des détails techniques sur cette vulnérabilité.

Selon Sucuri il existe 300 000 sites sous WordPress qui utilisent le plugin WP Statistics et qui sont donc potentiellement menacés.

Les versions vulnérables de WP Statistics sont les versions antérieures à la version 12.0.8. Tous les webmasters et les responsables de sites sont invités à mettre à jour leurs WordPress au plus vite.