Le 24 janvier 2024, Wordfence a publié un bulletin de sécurité concernant la vulnerabilité critique CVE-2023-6933 sur le plugin Better Search Replace pour WordPress.
Better Search Replace est installé sur plus d’un million de sites WordPress. Cette extension est utilisée pour faciliter la migration d’une base de données suite à un changement de domaine ou de serveur.
Le chercheur en sécurité Sam Pizzey a identifié une désérialisation non sécurisée dans le plugin, le rendant vulnérable à des injections d’objets PHP.
Il est ainsi possible pour un attaquant non authentifié d’exploiter cette faille. En envoyant des requêtes PHP spécifiquement forgées, ce dernier peut supprimer des fichiers, voler des données sensibles ou exécuter du code arbitraire.
