De multiples vulnérabilités dans le plugin WordPress posent un risque d'exécution de code à distance sur le site Web

Jessica Haworth

29 juin 2021 à 14 :53 UTC

Mise à jour : 29 juin 2021 à 15 :12 UTC

Un quatuor de failles critiques de sécurité Web affligent les logiciels CMS

De multiples vulnérabilités dans un plugin WordPress populaire utilisé pour télécharger des photos de profil pourraient permettre à un attaquant de réaliser l’exécution de code à distance (RCE), avertissent les chercheurs. Quatre problèmes de sécurité, qui ont tous reçu un score CVSS élevé de 9,8, ont été découverts en mai par des chercheurs de Wordfence.Ces failles ont permis à un attaquant d’élever les privilèges des utilisateurs et de télécharger du code malveillant, ce qui a entraîné la prise de contrôle complète d’un site WordPress.En savoir plus sur les dernières nouvelles sur les vulnérabilités de sécurité

Le plugin en question est ProfilePress – anciennement nommé WP User Avatar – qui facilite le téléchargement des images de profil utilisateur WordPress. La technologie compte plus de 40 000 installations, selon Wordfence. À l’origine, comme expliqué dans un avis de Wordfence, sa seule fonctionnalité était de télécharger des photos, mais un changement récent a vu le plugin s’enrichir de nouvelles fonctionnalités, notamment la connexion et l’enregistrement de l’utilisateur. C’était des défauts. dans la sécurité de ces mises à jour de fonctionnalités qui ont entraîné les vulnérabilités.

Escalade de privilèges

Le premier problème était une faille d’escalade de privilèges. Wordfence a expliqué  : « Lors de l’enregistrement de l’utilisateur, les utilisateurs pouvaient fournir des métadonnées utilisateur arbitraires qui seraient mises à jour pendant le processus d’enregistrement. » Cela incluait la méta utilisateur qui contrôle les capacités et le rôle d’un utilisateur. Cela a permis à un utilisateur de fournir en tant que paramètre de tableau lors de l’enregistrement, ce qui lui accorderait les capacités fournies, lui permettant de définir son rôle sur n’importe quel rôle qu’il souhaitait, y compris l’administrateur. « Il n’y avait aucun moyen de valider que l’enregistrement de l’utilisateur était activé sur le site, ce qui signifie que les utilisateurs pouvaient s’inscrire en tant qu’administrateur même sur des sites où l’inscription des utilisateurs était désactivée. LIRE Injection ‘LEXSS’ : Comment contourner les analyseurs lexicaux en abusant de la logique d’analyse HTML Les attaquants pourraient donc « reprendre complètement » un site WordPress vulnérable avec peu effort. Ensuite vient un bogue d’escalade de privilèges (CVE-2021-34622) dans la fonctionnalité de mise à jour du profil utilisateur, qui utilisait la même méthode que ci-dessus, mais nécessitait qu’un attaquant ait un compte sur un site vulnérable pour que l’exploit travail. « Cependant, étant donné que la fonction d’enregistrement ne validait pas si l’enregistrement de l’utilisateur était activé, un utilisateur pouvait facilement s’inscrire et exploiter cette vulnérabilité, s’il n’était pas en mesure d’exploiter le vulnérabilité d’escalade de privilèges lors de l’enregistrement », selon Wordfence.

Téléchargements malveillants

Une autre vulnérabilité présente était le téléchargement arbitraire de fichiers dans le composant de téléchargement d’images (CVE-2021-34623). Le téléchargeur d’images dans ProfilePress a été implémenté de manière non sécurisée en utilisant la fonction pour déterminer si un fichier était sûr ou non.Un attaquant pourrait déguiser un fichier malveillant en téléchargeant un fichier spoof qui contournerait la vérification.Cela pourrait être exploité pour télécharger un webshell qui permettrait un attaquant vers RCE et exécuter des commandes sur un serveur, réalisant ainsi une prise de contrôle complète du site. Une autre vulnérabilité de téléchargement de fichier arbitraire (CVE-2021-34624) dans la fonctionnalité « champs personnalisés » du plugin, qui recherche également les fichiers malveillants, pourrait être exploitée pour atteindre RCE.

Divulgation

Les vulnérabilités critiques ont été signalées à WordPress le 27 mai et un correctif a été publié le 30 mai. Wordfence a déclaré qu’ils « recommandaient aux utilisateurs de mettre immédiatement à jour la dernière version disponible » de WordPress, actuellement la version 3.1.8. Les versions vulnérables incluent 3.1-3.1.3. VOUS POUVEZ AUSSI AIMER le chercheur de vulnérabilités Instagram 30 000 $ après avoir exposé le contenu privé des utilisateurs