Le célèbre plugin de Newsletter pour WordPress WYSIJA, aussi connu sous le nom de MailPoet (disponible gratuitement sur https://wordpress.org/plugins/wysija-newsletters/) vient de subir une ré-écriture de son code source, suite à la détection d’une faille critique de sécurité.
Cette faille reposait sur la possibilité d’avoir accès aux fichiers PHP de tout site WordPress utilisant ce plugin MailPoet, à cause de l’utilisation d’une méthode de vérification des droits d’accès insuffisante : admin_init() et/ou is_admin(), alors qu’il faudrait à minima faire appel à current_user_can( ’upload_files’ )
Bref. La version 2.6.8 dernièrement mise en ligne le 04.07.2014 est désormais corrigée.
Téléchargez-la et installez-là dès que possible. Sans quoi votre site héberge peut-être déjà toutes sortes de portes permettant à des pirates d’utiliser votre site pour toute action répréhensible...
Source (en anglais) : Sucuri http://blog.sucuri.net/2014/07/remote-file-upload-vulnerability-on-mailpoet-wysija-newsletters.html