AMP for WP, qui a actuellement plus de 100.000 installations, a été retiré de la section des plugins officiels de WordPress.org le mois dernier, en raison justement de cette vulnérabilité très critique.
Les développeur de ce plugin a ainsi présenté la situation sur son blog :
Nous avons reçu un signalement de la part de WordPress disant qu'ils ont trouvé une faille de sécurité dans notre plugin qui pourrait être exploitée par des non-administrateurs du site.
Afin de prévenir toute exploitation temporaire, ils ont retiré notre plugin pour bloquer tout téléchargement. Mais l'utilisateur existant sera en mesure d'utiliser le plugin comme toujours.
Nous sommes déjà dans le processus de recherche dans la vulnérabilité signalée et soumettrons un nouveau code qui sera examiné et publié dans quelques jours. Par conséquent, il n'y a pas de raison de s'inquiéter.
Le plugin sera de retour en ligne et sera beaucoup mieux afin que vous puissiez avoir la meilleure expérience AMP.
En attendant, vous pouvez télécharger et installer notre AMPforWP plugin à partir d'ici (attention, fichier zip !).
AMPforWP est cependant réapparu, et donc validé, à la section des plugins de WordPress.org il y a 15 jours.
Le développeur dit que la raison pour laquelle son plugin pour AMP avait été retiré était due à une faille de sécurité qui “pourrait être exploitée par des non-administrateurs du site.”
Ce type de vulnérabilité signifie que les non-administrateurs pourraient manipuler les paramètres du plugin pour placer des annonces, ajouter du code HTML personnalisé dans l'en-tête ou pied de page, ou insérer des logiciels malveillants JavaScript.
Si vous êtes l'un des nombreux utilisateurs de WordPress avec ce plugin AMPforWP installé, il est recommandé que vous téléchargiez le patch dès maintenant.
