50 000 sites WordPress affectés par une vulnérabilité d’injection d’objet PHP dans le plugin WordPress Uncanny Automator

Le 26 avril 2024, nous avons reçu une notification concernant une vulnérabilité d’injection d’objet PHP authentifiée dans Uncanny Automator , un plugin WordPress comptant plus de 50 000 installations actives. Cette vulnérabilité peut être exploitée via une chaîne POP présente dans le plugin pour supprimer des fichiers arbitraires, dont le fichier wp-config.php, ce qui peut permettre la prise de contrôle du site et l’exécution de code à distance par des attaquants authentifiés au niveau des abonnés.

Félicitations à mikemyers qui a découvert et signalé cette vulnérabilité de manière responsable grâce au programme de primes aux bugs de Wordfence . Ce chercheur a reçu une prime de 1 021 $ pour cette découverte. C’est pourquoi nous investissons dans des recherches de qualité sur les vulnérabilités et collaborons avec des chercheurs de ce calibre grâce à notre programme de primes aux bugs. Nous nous engageons à renforcer la sécurité de l’écosystème WordPress grâce à la détection et à la prévention des vulnérabilités, un élément essentiel de notre approche de sécurité multicouche.

Les utilisateurs de Wordfence Premium , Wordfence Care et Wordfence Response ont reçu une règle de pare-feu pour se protéger contre tout exploit ciblant cette vulnérabilité le 22 avril 2025. Les sites utilisant la version gratuite de Wordfence recevront la même protection 30 jours plus tard, le 22 mai 2025.

Nous avons contacté l’équipe d’Uncanny Owl le 15 avril 2025 et avons reçu une réponse le jour même. Après avoir fourni tous les détails, le développeur a publié le correctif le 18 avril 2025. Nous tenons à féliciter l’équipe d’Uncanny Owl pour sa réactivité et la rapidité de son correctif.

Nous encourageons les utilisateurs à mettre à jour leurs sites avec la dernière version corrigée d’Uncanny Automator, version 6.4.0.2 au moment de la rédaction de cet article, dès que possible.