20 mai 2021 à 13 :33 UTC
Mis à jour : 20 mai 2021 à 13 :45 UTC
Données de base de données sensibles à risque si les webmasters ne parviennent pas à mettre à jour les systèmesWP Statistics, un plugin d’analyse Web populaire pour WordPress, contenait une vulnérabilité d’injection SQL aveugle basée sur le temps qui, si elle était exploitée, pourrait entraîner l’exfiltration d’informations sensibles de la base de données d’un site. les sites exécutant le plugin open source, qui sont au nombre de plus de 600 000, ont été invités à mettre à jour leurs systèmes dès que possible. La nature de la vulnérabilité pré-authentifiée de haute gravité (score CVSS 7,5) (CVE-2021-24340) signifie «exfiltrer l’information serait un processus relativement lent, et il ne serait pas pratique de l’utiliser pour extraire des enregistrements en masse », a déclaré Ram Gall, analyste des menaces et ingénieur QA à la plate-forme de sécurité WordPress Wordfence, dans un article de blog publié mardi 18 mai. Néanmoins, «des informations de grande valeur telles que les e-mails des utilisateurs, les hachages de mots de passe, les clés de cryptage et les sels pourraient être extraites en quelques heures avec t a l’aide d’outils automatisés tels que sqlmap. Dans une attaque ciblée, cette vulnérabilité pourrait être utilisée pour extraire des informations personnellement identifiables à partir de sites de commerce électronique contenant des informations client. les données sont stockées. »
Construire l’attaque
Entre autres données de trafic, WP Statistics fournit des chiffres détaillés sur les pages que les utilisateurs du site Web visitent.L’accès à un menu » Pages » génère une requête SQL qui affiche ces statistiques, a déclaré Gall. est censée être réservée aux administrateurs, «il était possible de commencer à charger le constructeur de cette page en envoyant une requête à wp-admin / admin.php avec le paramètre de page défini sur», a poursuivi l’analyste de menaces. dans le constructeur de la page, « tout visiteur peut déclencher la requête SQL sans se connecter. » Un acteur malveillant pourrait alors fournir des valeurs malveillantes pour les paramètres d’ID ou de type. «
Pas de fuite
Comme avec un autre bogue d’injection SQL aveugle basé sur le temps, Wordfence, récemment découvert dans le plugin AntiSpam de CleanTalk, l’utilisation d’une fonction n’a pas réussi à repousser l’attaque faute d’une déclaration préparée, a déclaré Gall. : «Nous avons vu plusieurs exemples dans le passé où échapper à l’entrée était insuffisant et a conduit à un faux sentiment de sécurité, et nous nous attendons à en voir plus à l’avenir. Échapper à l’entrée peut être suffisant dans certains cas, mais ce n’est plus vraiment une hypothèse sûre. Il a ajouté : «Les déclarations préparées sont considérées comme une meilleure pratique depuis longtemps maintenant, et alors que certains développeurs les ont peut-être évitées dans le passé, car elles le peuvent être délicate à mettre en œuvre manuellement, il n’y a pas vraiment d’excuse pour ne pas les utiliser dans WordPress grâce à la facilité d’utilisation que cela permet. »
Calendrier de divulgation
L’équipe de renseignement sur les menaces de Wordfence a alerté le développeur de WP Statistics VeronaLabs sur la vulnérabilité le 13 mars, et une version contenant un correctif, la version 13.0.8, a été publiée le 25 mars. de VeronaLabs, a déclaré au Daily Swig que le bogue avait été résolu «dans la requête côté administrateur». VOUS POURRIEZ AUSSI COMME LA vulnérabilité d’injection de WordPress XXE pourrait permettre aux attaquants de voler à distance des fichiers hôtes