La base de données nationale des vulnérabilités du gouvernement des États-Unis (NVD) a publié un avis concernant une vulnérabilité découverte dans le plugin WordPress WP Statistics qui affecte jusqu’à 600 000 installations actives. La vulnérabilité a reçu un score de niveau de menace moyen de 6,5 sur une échelle de 1 à 10, le niveau 10 représentant le niveau de vulnérabilité le plus grave.
Falsification de requêtes intersites de statistiques WP (CSRF)
Le plugin WP Statistics s’est avéré contenir une vulnérabilité Cross-Site Request Forgery qui pourrait permettre à un attaquant de compromettre un site Web en activant ou en désactivant des plugins. Une contrefaçon de requête intersite est une attaque qui nécessite qu’un utilisateur du site Web enregistré (tel qu’un administrateur) effectue une action telle qu’un clic sur un lien, ce qui permet ensuite à un attaquant de profiter d’une faille de sécurité. La faille de sécurité dans cette instance est une « validation nonce manquante ou incorrecte ». Un nonce WordPress est un jeton de sécurité fourni à un utilisateur enregistré qui permet à cet utilisateur d’effectuer en toute sécurité des actions que seul un utilisateur enregistré peut effectuer. Les pages des développeurs WordPress expliquent le nonce avec l’exemple d’un administrateur supprimant un message. Nonces WordPress peut générer une URL comme celle-ci lorsqu’un utilisateur de niveau administrateur supprime une publication.
Vous trouverez ci-dessous un exemple hypothétique d’URL générée lors de la suppression d’un message avec un numéro d’identification de 123 :
http://example.com/wp-admin/post.php?post=123&action=trash
Un administrateur de site WordPress enregistré prendrait un nonce et l’URL, dans l’exemple, pourrait ressembler à ceci :
http://example.com/wp-admin/post.php?post=123&action=trash&_wpnonce=b192fc4204 Cette dernière partie, &_wpnonce=b192fc4204, est le nonce. Donc, ce qui se passe, c’est que le nonce est manquant ou n’est pas correctement validé dans le plugin WP Statistics et cela crée une faille de sécurité qu’un pirate malveillant peut exploiter.
La base de données nationale sur les vulnérabilités (NVD) l’explique ainsi :
«Le plugin WP Statistics pour WordPress est vulnérable à la falsification de requête intersite dans les versions jusqu’à 13.1.1 incluses. Cela est dû à une validation nonce manquante ou incorrecte sur la fonction view(). Cela permet à des attaquants non authentifiés d’activer et de désactiver des plugins arbitraires, via une demande falsifiée accordée, ils peuvent inciter un administrateur de site à effectuer une action telle que cliquer sur un lien.
Correctif de vulnérabilité CSRF
La vulnérabilité du plug-in WP Statistics affecte la version jusqu’à 13.1.1. Cependant, de nombreux correctifs de sécurité ont été ajoutés depuis lors, y compris dans la version 13.2.11, ainsi que des correctifs supplémentaires par la suite. La version actuelle du plugin est 14.0.1. À l’heure actuelle, seuls 29,3 % des utilisateurs utilisent la version la plus récente. Les utilisateurs de la version obsolète du plugin peuvent envisager de mettre à jour vers la dernière version.
Lire l’avis de sécurité NVD :
CVE-2021-4333 Détail Image sélectionnée par Shutterstock/Asier Romero