Une faille 0-Day au sein d’un plugin WordPress couramment utilisé donne accès au hash de l’administrateur, ou des utilisateurs, du site vulnérable.
L’injection SQL se trouve dans le plugin « Facebook Connect WordPress Plugin », téléchargeable directement sur le site officiel de son auteur et permet d’intégrer les fonctionnalités Facebook à son site ou son blog.
Des sites ont déjà été piratés via cette faille. L’auteur du plugin en a été averti par Undernews.fr et devrait sortir une version corrigée rapidement. En attendant que la faille soit corrigée, il est déconseillé de l’utiliser et il est même préférable de le désactiver et le supprimer du FTP.
Pour de plus amples informations, consultez l’article d’Undernews.