Le contexte : une faille s\u00e9rieuse dans un plugin tr\u00e8s utilis\u00e9<\/h2>\n\n\n\n
Le plugin GiveWP \u2013 Donation Plugin and Fundraising Platform<\/strong>, utilis\u00e9 par au moins 100.000 sites WordPress pour g\u00e9rer les dons, a r\u00e9cemment \u00e9t\u00e9 touch\u00e9 par une faille d\u2019exposition d\u2019informations (CWE-200)<\/strong>.<\/p>\n\n\n\n Cette vuln\u00e9rabilit\u00e9 permet \u00e0 n\u2019importe qui de r\u00e9cup\u00e9rer la liste des donateurs<\/strong> \u2013 noms, adresses emails, identifiants \u2013 sans avoir besoin d\u2019\u00eatre connect\u00e9 ou d\u2019avoir des privil\u00e8ges particuliers.<\/p>\n\n\n\n Et tout \u00e7a, simplement\u2026 en visitant un site.<\/p>\n<\/div>\n\n\n\n Si tu utilises GiveWP, tu dois savoir que cette faille permet \u00e0 un visiteur lambda de collecter les informations de tes donateurs<\/strong>. Et on parle bien l\u00e0 de donn\u00e9es personnelles sensibles : pr\u00e9nom, nom, email, identifiant de donateur…<\/p>\n\n\n\n \u27a1\ufe0f Risques directs :<\/strong><\/p>\n\n\n\n La communaut\u00e9 n\u2019a pas tard\u00e9 \u00e0 r\u00e9agir, et pas dans la douceur.<\/p>\n\n\n\n La page Github de ce probl\u00e8me<\/a><\/strong> a \u00e9t\u00e9 envahie de messages de m\u00e9contentement, parfois furieux. Le support aurait d’abord ignor\u00e9 le probl\u00e8me. <\/p>\n\n\n\n Chaque intervention du Community Manager se solde alors une pluie de downvotes \ud83d\udc4e<\/strong>.<\/p>\n\n\n\n Un utilisateur r\u00e9sume bien la situation : \u00ab\u00a0This was not a minor issue. This was a massive security and privacy issue ?<\/em>\u00ab\u00a0<\/p>\n\n\n\n La difficult\u00e9 \u00e9tant ensuite bien-s\u00fbr pour chacun de g\u00e9rer le leak de donn\u00e9es aupr\u00e8s de ses clients m\u00e9contents…<\/p>\n\n\n\n \u00ab\u00a0We, as the responsible party, self-reported to Troy Hunt and HIBP so they could notify the donor affected. I am receiving emails from rightfully upset donors that do not care that GiveWP was the cause of the leak, they care the Pi-hole had their data, Pi-hole caused their data to be released and thus Pi-hole will be responsible for their damages. We are getting threats of action against us under GDPR.\u00a0\u00bb<\/p>\ndschaper<\/a> – From GitHub Comment<\/a><\/cite><\/blockquote>\n\n\n\n Voici les actions \u00e0 prendre imm\u00e9diatement<\/strong> :<\/p>\n\n\n\n C\u2019est la seule version qui corrige<\/strong> cette vuln\u00e9rabilit\u00e9.<\/p>\n\n\n\n Concr\u00e8tement… Si tu avais le plugin, alors le risque est pr\u00e9sent d\u00e8s qu’un seul visiteur a pu visiter ton site. Plus le site est populaire, plus le risque est grand.<\/p>\n\n\n\n Transparence = confiance.<\/strong> Si tu as le moindre doute sur une fuite effective, prends les devants :<\/p>\n\n\n\n Si la fuite repr\u00e9sente un risque pour les droits et libert\u00e9s<\/strong> des personnes concern\u00e9es (ce qui est souvent le cas avec noms + emails), tu as 72h pour la d\u00e9clarer \u00e0 la CNIL<\/strong> apr\u00e8s en avoir eu connaissance.<\/p>\n\n\n\n \u26a0\ufe0f C\u2019est une obligation pr\u00e9vue par le RGPD (article 33).<\/p>\n\n\n\n \u2795 Si le risque est \u00e9lev\u00e9, tu dois \u00e9galement informer directement les personnes concern\u00e9es<\/strong>.<\/p>\n\n\n\n Plus d\u2019infos sur : https:\/\/www.cnil.fr\/fr\/notifier-une-violation-de-donnees-personnelles<\/a><\/p>\n\n\n\n <\/p>\n\n\n\n Chez LRob, seul un site comporte ce plugin, et le plugin y est d\u00e9sactiv\u00e9. Aucun impact \u00e0 relever, donc.<\/p>\n\n\n\n Une faille comme celle-ci nous rappelle que m\u00eame les plugins les plus populaires peuvent comporter des risques.<\/p>\n\n\n\n \ud83d\udee1\ufe0f Prot\u00e8ge tes donateurs. Renforce ta s\u00e9curit\u00e9. Reste \u00e0 jour.<\/strong><\/p>\n\n\n\n Marre de devoir surveiller chaque faille, chaque plugin, chaque CVE ?<\/p>\n\n\n\n Avec les h\u00e9bergements web LRob<\/strong><\/a>, tu b\u00e9n\u00e9ficies d\u2019une surveillance automatis\u00e9e<\/strong>, d\u2019un blocage en temps r\u00e9el<\/strong> et de notifications claires<\/strong> quand un souci est d\u00e9tect\u00e9. Si besoin on s’occupe de tout pour toi gr\u00e2ce aux offres webmastering<\/a>.<\/p>\n\n\n\nD\u00e9tails techniques<\/h2>\n\n\n\n
\n
Quelles sont les cons\u00e9quences concr\u00e8tes ?<\/h2>\n\n\n\n
\n
R\u00e9actions (tr\u00e8s) vives sur Github<\/h2>\n\n\n\n
![\"Exemple](\"https:\/\/portail.lrob.fr\/wp-content\/uploads\/2025\/08\/Un-dev-se-prend-une-shitstorm-givewp.jpg\")
<\/figure>\n\n\n\n\n
Que faire si tu utilises GiveWP ?<\/h2>\n\n\n\n
\ud83d\udd04 1. Mets \u00e0 jour GiveWP vers la version 4.6.1<\/h3>\n\n\n\n
\ud83d\udd0d 2. V\u00e9rifie si des donn\u00e9es ont pu \u00eatre expos\u00e9es<\/h3>\n\n\n\n
\ud83d\udce2 3. Informe tes utilisateurs en cas de fuite<\/h3>\n\n\n\n
\n
\ud83c\udfdb\ufe0f 4. En France : Notifie la CNIL si n\u00e9cessaire<\/h3>\n\n\n\n
Impact chez LRob<\/h2>\n\n\n\n
Il faut croire que nous n’h\u00e9bergeons pas encore suffisamment d’associations.<\/p>\n\n\n\nRessources utiles pour creuser le sujet<\/h2>\n\n\n\n
\n
En conclusion : reste vigilant<\/h2>\n\n\n\n
\ud83d\udca1 Besoin d’un coup de main c\u00f4t\u00e9 s\u00e9curit\u00e9 ?<\/h2>\n\n\n\n