Si vous êtes un administrateur WordPress utilisant un plugin appelé Rich Reviews, vous voudrez le désinstaller. Le plugin, qui n’existe plus, présente une vulnérabilité majeure qui permet aux malvertiseurs d’infecter les sites exécutant WordPress et de rediriger les visiteurs vers d’autres sites.

Rich Reviews est un plugin WordPress qui permet aux sites de gérer les avis en interne dans WordPress. Il affiche également les avis sur Google pour une entreprise située sous un résultat de recherche. La société de marketing Nuanced Media l’a publié avec le développeur de plugins Foxy Technology en janvier 2013.

Le plugin n’existe plus

En mettant à jour un ancien billet de blog plus tôt ce mois-ci, Nuanced Media a réaffirmé qu’il avait cessé le plug-in. Cela a mis en cause un changement dans les directives de schéma de Google qui empêchait les marchands d’afficher les évaluations des étoiles d’évaluation sur leurs propres URL.

Ci-dessous une vidéo en anglais parlant de ce plugin :

La dernière mise à jour de la société sur le référentiel GitHub de Rich Reviews remonte à plus de trois ans. Le plugin a finalement disparu du site WordPress en mars de cette année. Il avait accumulé 106 000 téléchargements au total.

Certains sites en possèdent encore

Le problème est qu’au moins certains de ces téléchargeurs (16 000, selon certaines estimations) l’utilisent encore et ont été piqués par une fâcheuse vulnérabilité. Le bug de sécurité permet aux attaquants d’injecter du code malvertising dans les pages WordPress des victimes, en les lardant d’annonces ou en les redirigeant vers d’autres sites.

Les attaquants s’appuient sur deux défauts du plugin. Le premier est l’absence de contrôle d’accès pour les demandes modifiant les options du plug-in, ce qui signifie que les attaquants peuvent effectuer ces demandes sans autorisation. Le deuxième bogue est un défaut de validation d’entrée. Certaines de ces demandes de modification peuvent modifier le texte affiché sur le site, mais le plug-in ne valide pas le contenu de la demande.