Les plugin pour le CMS WordPress, on en parle beaucoup sur le réseau dumac, comme la semaine dernière encore avec une faille au niveau de WP-statistics... Cette fois-ci c’est le plugin de sauvegarde WP-DB-Backup, plus précisément pour la version 2.2.4, qui est épinglé pour une faille de sécurité. Celle ci permet à un attaquant de voler une sauvegarde de la base de données. Et donc, de récupérer des informations confidentielles comme les login utilisateurs/mots de passe. Et même s’ils sont cryptés, il est possible dans un second temps de les bruteforcer tranquillement depuis un ordinateur. Seule condition particulière : que l’installation WordPress soit faite par défaut, c’est à dire en laissant le nom de la base "wordpress" et les préfix de tables de BDD wp_
Source : Cette faille a été signalée le 22 novembre 2014 et l’exploit est disponible en ligne sur http://seclists.org/bugtraq/2014/Nov/123