La direction de la sécurité des systèmes d’information (DSSI), relevant de l’administration de la défense nationale, a récemment émis une alerte de sécurité majeure concernant une vulnérabilité critique touchant l’extension “SureTriggers” utilisée sur la plateforme WordPress. La faille, identifiée sous le code CVE-2025-3102, affecte les versions antérieures à 1.0.79 et expose potentiellement des milliers de sites web à des attaques à distance.

Suite à la dernière cyberattaque, les professionnels pointent la vulnérabilité des systèmes informatiques marocains. Pour préserver une autre fuite, les efforts se multiplient. Selon une note technique émanant de la DSSI, cette vulnérabilité permettrait à un attaquant externe d’outrepasser les mécanismes de sécurité natifs de WordPress, de contourner l’authentification, et de créer un compte administrateur ou prendre le contrôle total du site sans disposer d’identifiants de connexion.

Une telle compromission donne à l’attaquant la possibilité de modifier les paramètres du site, de supprimer des données sensibles, voire de le rendre totalement inopérant.

Suite à la détection de cette brèche, la société éditrice de l’extension a rapidement déployé un correctif dans la version 1.0.79. Les administrateurs de sites sont appelés à vérifier la version installée de l’extension “SureTriggers” via leur tableau de bord WordPress, et à procéder sans délai à sa mise à jour via le canal officiel des mises à jour de la plateforme.

La DSSI insiste sur le caractère urgent de cette mise à jour, soulignant que tout retard pourrait permettre à des acteurs malveillants d’exploiter la faille pour compromettre l’intégrité et la sécurité des sites concernés.

L’extension “SureTriggers”, de plus en plus prisée par les développeurs et gestionnaires de contenus, permet d’automatiser des flux de travail sans écrire de code, en connectant des applications tierces comme Google Sheets, Slack, Zoom, WooCommerce, Trello ou encore Facebook.

Mais cette facilité d’intégration peut aussi devenir un vecteur d’attaque, comme l’a expliqué l’expert en cybersécurité Hassan Kherjouj, qui a confirmé dans une publication sur sa page Facebook officielle que la faille permettrait une élévation de privilèges non autorisée.

Outre la mise à jour impérative de l’extension, les experts recommandent d’auditer la liste des comptes utilisateurs pour détecter toute création suspecte disposant de privilèges d’administrateur, de consulter les journaux d’activité, si disponibles, pour identifier toute action inhabituelle ou malveillante et de changer les mots de passe des comptes ayant des droits d’administration à titre préventif.

La DSSI rappelle à l’ensemble des administrateurs web la nécessité de rester à l’écoute des alertes de sécurité et de maintenir leurs environnements numériques à jour, afin de réduire la surface d’exposition aux cybermenaces.

The post Une faille critique dans WordPress menace des milliers de sites au Maroc appeared first on Hespress Français - Actualités du Maroc.