La National Vulnerability Database (NVD) des États-Unis a annoncé que le plugin WordPress Thirsty Affiliate Link Manager présente deux vulnérabilités qui peuvent permettre à un pirate d’injecter des liens. De plus, le plug-in ne dispose pas de la vérification Cross-Site Request Forgery, ce qui peut entraîner une compromission complète du site Web de la victime.
Plugin gestionnaire de liens ThirstyAffiliates
Le plugin WordPress ThirstyAffiliates Link Manager propose des outils de gestion des liens d’affiliation. Les liens d’affiliation changent constamment et une fois qu’un lien devient obsolète, l’affilié ne gagnera plus d’argent à partir de ce lien. Le plugin de gestion des liens d’affiliation WordPress résout ce problème en fournissant un moyen de gérer les liens d’affiliation à partir d’une seule zone dans le panneau d’administration de WordPress, ce qui facilite la modification des URL de destination sur l’ensemble du site en modifiant un lien. L’outil permet d’ajouter des liens d’affiliation dans le contenu au fur et à mesure que le contenu est écrit.
Vulnérabilités du plugin WordPress ThirstyAffiliate Link Manager
La base de données nationale des vulnérabilités des États-Unis (NVD) a décrit deux vulnérabilités qui permettent à tout utilisateur connecté, y compris les utilisateurs au niveau de l’abonné, de créer des liens d’affiliation et également de télécharger des images avec des liens qui peuvent diriger les utilisateurs qui cliquent sur les liens vers n’importe quel site Web..
Le NVD décrit le vulnérabilités :
CVE-2022-0398
« Le plugin WordPress ThirstyAffiliates Affiliate Link Manager avant 3.10.5 n’a pas d’autorisation et de vérifications CSRF lors de la création de liens d’affiliation, ce qui pourrait permettre à tout utilisateur authentifié, tel qu’un abonné, de créer des liens d’affiliation arbitraires, qui pourraient ensuite être utilisés pour rediriger les utilisateurs vers un site Web arbitraire.
CVE-2022-0634
« Le plugin WordPress ThirstyAffiliates Affiliate Link Manager avant 3.10.5 manque de vérifications d’autorisation dans l’action ta_insert_external_image, permettant à un utilisateur à faible privilège (avec un rôle aussi bas qu’Abonné) d’ajouter une image d’une URL externe à un lien d’affiliation. De plus, le plugin manque de vérifications csrf, permettant à un attaquant de tromper un utilisateur connecté pour qu’il effectue l’action en créant une demande spéciale.
Falsification de requêtes intersites
Une attaque Cross-Site Request Forgery est une attaque qui amène un utilisateur connecté à exécuter une commande arbitraire sur un site Web via le navigateur que le visiteur du site utilise. Dans un site Web dépourvu de contrôles CSRF, le site Web ne peut pas faire la différence entre un navigateur affichant les informations d’identification de cookie d’un utilisateur connecté et une demande authentifiée falsifiée (authentifié signifie connecté). Si l’utilisateur connecté dispose d’un accès de niveau administrateur, l’attaque peut entraîner une prise de contrôle totale du site car l’ensemble du site Web est compromis.
La mise à jour du plugin ThirstyAffiliates link Manager est recommandée
Le plugin ThirstyAffiliates a publié un correctif pour les deux vulnérabilités. Il peut être prudent de mettre à jour vers la version la plus sûre du plugin, 3.10.5.
Citations
Lire les avertissements officiels de vulnérabilité NVD
CVE-2022-0634 Détail CVE-2022-0398 Détail
Lisez les détails de la vulnérabilité de WP Scan et examinez la preuve de concept
ThirstyAffiliates Affiliate Link Manager < 3.10.5 – Abonné + Création de liens d'affiliation arbitraires ThirstyAffiliates < 3.10.5 – Abonné + téléchargement d'image non autorisé + CSRF