Wordfence a publié deux vulnérabilités qui affectent les utilisateurs du plugin Redux Framework, plus récemment connu sous le nom de « Gutenberg Template Library & Redux Framework » sur WordPress.org. Extendify a acheté le plugin à son créateur, Dōvy Paukstys, en novembre 2020, dans le cadre d’un accord qui n’a pas été très médiatisé. Il est actuellement actif sur plus d’un million de sites WordPress.
Tout au long de la majeure partie de son histoire, Redux a été connu comme un cadre d’options populaire pour les thèmes et les plugins. En 2020, Paukstys a relancé le framework en mettant l’accent sur les modèles Gutenberg. Les utilisateurs peuvent désormais parcourir plus de 1 000 modèles depuis l’éditeur de blocs.
C’est cette nouvelle fonctionnalité de navigation de modèles qui s’est révélée vulnérable dans le récent rapport de sécurité de Wordfence, en raison d’une vérification laxiste des autorisations sur les points de terminaison de l’API WP REST que le plugin utilise pour traiter les demandes dans sa bibliothèque de modèles. Le 3 août 2021, Wordfence a divulgué une vulnérabilité de haute gravité décrite comme une « autorisation incorrecte conduisant à l’installation et à la post-suppression arbitraires du plug-in » et une vulnérabilité de moindre gravité « divulgation d’informations sensibles non authentifiées » aux propriétaires du plug-in. Le rapport publié cette semaine décrit la nature de la menace :
Une vulnérabilité permettait aux utilisateurs disposant d’autorisations inférieures, tels que les contributeurs, d’installer et d’activer des plugins arbitraires et de supprimer toute publication ou page via l’API REST. Une deuxième vulnérabilité permettait à des attaquants non authentifiés d’accéder à des informations potentiellement sensibles sur la configuration d’un site.
Extendify a répondu immédiatement et a expédié une version corrigée (4.2.13) de Redux Framework le 11 août 2021. Au moment de la publication, plus de 71% des sites utilisant le plugin Redux Framework fonctionnent sur des versions plus anciennes qui restent vulnérables. Il est conseillé aux utilisateurs de mettre à jour vers la dernière version afin d’obtenir le correctif de sécurité, surtout maintenant que Wordfence a publié un article montrant comment les attaquants pourraient potentiellement exploiter ces vulnérabilités.
Comme ça :
J’aime le chargement.