Une campagne de cyberattaques massive a visé des sites WordPress en exploitant des failles critiques dans les plugins GutenKit et Hunk Companion — plus de 8,7 millions de tentatives ont été bloquées en seulement deux jours. Les vulnérabilités (dont CVE-2024-9234, CVE-2024-9707 et CVE-2024-11972) permettent à des attaquants non authentifiés d’installer des plugins malveillants à distance via l’API REST. Ces failles avaient pourtant été corrigées fin 2024 — l’attaque met en lumière la dangerosité des correctifs non appliqués. Les administrateurs sont appelés à mettre à jour urgemment ces extensions et à renforcer la sécurité de leurs points d’entrée REST pour éviter l’intrusion.
Sources : Dimension Internet, 01net, Siècle Digital.