Les vulnérabilités du plug-in NextGEN Gallery ont exposé de nombreux sites WordPress à prendre en charge

Deux vulnérabilités graves dans le plugin WordPress NextGEN Gallery auraient pu exposer plus de 800000 sites Web à la prise de contrôle complète, a rapporté lundi la société de sécurité WordPress Defiant.

Disponible depuis plus d’une décennie, le plugin offre aux utilisateurs un large éventail de fonctionnalités de gestion de galerie l’importation de métadonnées, l’édition de vignettes etc.

En décembre 2020, des chercheurs en sécurité de l’équipe Wordfence de Defiant ont découvert deux vulnérabilités de falsification de requêtes intersites (CSRF) dans le plug-in populaire, dont la plus grave pourrait conduire à l’exécution de code à distance (RCE) et à des scripts intersites stockés (XSS).

« L’exploitation de ces vulnérabilités pourrait entraîner une prise de contrôle de site, des redirections malveillantes, des injections de spam, du phishing et bien plus encore », expliquent les chercheurs en sécurité.

Étant donné que NextGEN Gallery prend en charge le téléchargement de fichiers CSS personnalisés, la vulnérabilité permet le téléchargement de code arbitraire avec des extensions doubles, telles que .php.css, et l’exécution de code sur certaines configurations à distance. L’exécution de code était également possible sur des configurations non vulnérables aux doubles extensions, grâce à une fonctionnalité « Legacy Templates ».

Un attaquant capable d’exécuter du code à distance sur un site Web vulnérable pourrait essentiellement prendre le contrôle du site. Un résultat similaire peut être obtenu via XSS, si un administrateur connecté visite une page malveillante (ce qui nécessiterait probablement des tactiques d’ingénierie sociale).

Alors que le fichier téléchargé devait être un fichier image valide, il est possible de cacher un webshell ou un autre code PHP exécutable dans un tel fichier image « , explique Wordfence.

En définissant le fichier image sur Legacy Template, un attaquant pourrait combiner la faille avec la vulnérabilité décrite précédemment et en abuser pour l’exécution de code. Cependant, l’attaquant devrait convaincre un administrateur de cliquer sur un lien entraînant l’envoi de ces requêtes.

Wordfence a signalé ces vulnérabilités à l’éditeur du plugin, Imagely, le 14 décembre 2020, et une version corrigée du plugin a été publiée trois jours plus tard. Les administrateurs du site doivent s’assurer qu’ils exécutent NextGEN Gallery version 3.5.0 ou ultérieure, pour être protégés.

Ionut Arghire est correspondant international pour SecurityWeek. Chronique précédente d’Ionut Arghire:Mots clés: