La vulnérabilité de WordPress atteint +1 million en utilisant le plugin d’en-tête et de pied de page

Le plugin WordPress WPCode – Insert Headers and Footers + Custom Code Snippets, avec plus d’un million d’installations, a été découvert comme ayant une vulnérabilité qui pourrait permettre à l’attaquant de supprimer des fichiers sur le serveur. L’avertissement de la vulnérabilité a été publié sur la base de données nationale des vulnérabilités du gouvernement des États-Unis (NVD).

Insertion d’en-têtes et de pieds de page

Le plugin WPCode (anciennement connu sous le nom d’Insert Headers and Footers par WPBeginner), est un plugin populaire qui permet aux éditeurs WordPress d’ajouter des extraits de code à la zone d’en-tête et de pied de page.

Ceci est utile pour les éditeurs qui doivent ajouter un code de validation de site Google Search Console, un code CSS, des données structurées, voire du code AdSense, pratiquement tout ce qui appartient à l’en-tête ou au pied de page d’un site Web.

Vulnérabilité de falsification de requête intersite (CSRF)

Le plug-in WPCode – Insert headers and Footers avant la version 2.0.

9 contient ce qui a été identifié comme une vulnérabilité Cross-Site Request Forgery (CSRF). Une attaque CSRF consiste à inciter un utilisateur final enregistré sur le site WordPress à cliquer sur un lien qui effectue une action indésirable. L’attaquant s’appuie essentiellement sur les informations d’identification de l’utilisateur enregistré pour effectuer des actions sur le site sur lequel l’utilisateur est enregistré.

Lorsqu’un utilisateur WordPress connecté clique sur un lien contenant une requête malveillante, le site est obligé d’exécuter la requête car il utilise un navigateur avec des cookies qui identifie correctement l’utilisateur comme étant connecté. C’est l’action malveillante que l’utilisateur enregistré ignore. l’exécution sur laquelle l’attaquant compte.

L’organisation à but non lucratif Open Worldwide Application Security Project (OWASP) décrit une vulnérabilité CSRF :
« Cross-Site Request Forgery (CSRF) est une attaque qui force un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié. Avec un peu d’aide d’ingénierie sociale (comme l’envoi d’un lien par e-mail ou chat), un attaquant peut inciter les utilisateurs d’une application Web à exécuter les actions de son choix. Si la victime est un utilisateur normal, une attaque CSRF réussie peut forcer l’utilisateur à effectuer des demandes de changement d’état telles que le transfert de fonds, la modification de son adresse e-mail, etc.

Si la victime est un compte administratif, CSRF peut compromettre l’intégralité de l’application Web. Le site Web Common Weakness Enumeration (CWE), sponsorisé par le Département de la sécurité intérieure des États-Unis, propose une définition de ce type de CSRF :, une demande cohérente a été intentionnellement fournie par l’utilisateur qui a soumis la demande. … Lorsqu’un serveur Web est conçu pour recevoir une demande d’un client sans aucun mécanisme permettant de vérifier qu’elle a été envoyée intentionnellement, il peut être possible pour un attaquant de tromper un client en lui faisant faire une demande involontaire au serveur Web qui sera traitée comme une demande authentique.

Cela peut être fait via une URL, un chargement d’image, XMLHttpRequest, etc. et peut entraîner l’exposition de données ou l’exécution de code involontaire. Dans ce cas particulier, les actions indésirables se limitent à la suppression des fichiers journaux.

La base de données nationale sur les vulnérabilités a publié les détails de la vulnérabilité :
«Le plugin WPCode WordPress avant 2.0.9 a un CSRF défectueux lors de la suppression du journal et ne garantit pas que le fichier à supprimer se trouve dans le dossier attendu.

Cela pourrait permettre aux attaquants de faire en sorte que les utilisateurs disposant de la capacité wpcode_activate_snippets suppriment des fichiers journaux arbitraires sur le serveur, y compris en dehors des dossiers du blog. Le site Web WPScan (propriété d’Automattic) a publié une preuve de concept de la vulnérabilité. Une preuve de concept, dans ce contexte, est un code qui vérifie et démontre qu’une vulnérabilité peut fonctionner.

Ceci est la preuve de concept : « Faites en sorte qu’un utilisateur connecté avec la capacité wpcode_activate_snippets ouvre l’URL ci-dessous https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=.

./ ..

/delete-me.log Cela leur fera supprimer le ~/wp-content/delete-me.log »

Deuxième vulnérabilité pour 2023

Il s’agit de la deuxième vulnérabilité découverte en 2023 pour le plugin WPCode Insert Headers and Footers.

Une autre vulnérabilité a été découverte en février 2023, affectant les versions 2.0.6 ou moins, que la société de sécurité Wordfence WordPress a décrite comme une « autorisation manquante pour la divulgation/mise à jour de clé sensible ».

Selon le NVD, le rapport de vulnérabilité, la vulnérabilité a également affecté les versions jusqu’à 2.0.7.

Le NVD a mis en garde contre la vulnérabilité précédente : « Le plugin WPCode WordPress avant 2.0.7 n’a pas de contrôles de privilèges adéquats en place pour plusieurs actions AJAX, ne vérifiant que le nonce.

Cela peut conduire à autoriser tout utilisateur authentifié qui peut modifier des publications à appeler les points de terminaison liés à l’authentification de la bibliothèque WPCode (comme la mise à jour et la suppression de la clé d’authentification).

WPCode a publié un correctif de sécurité

Le journal des modifications pour le plugin WordPress WPCode – Insert Headers and Footers note de manière responsable qu’ils ont corrigé un problème de sécurité. Une notation du journal des modifications pour la mise à jour de la version 2.

0.9 indique : « Correctif : renforcement de la sécurité pour la suppression des journaux ». La notation du journal des modifications est importante car elle alerte les utilisateurs du plugin du contenu de la mise à jour et leur permet de prendre une décision éclairée sur l’opportunité de procéder à la mise à jour ou d’attendre la suivante.

WPCode a agi de manière responsable en répondant à la découverte de la vulnérabilité en temps opportun et en notant également le correctif de sécurité dans le journal des modifications.

Actions recommandées

Il est recommandé aux utilisateurs du plug-in WPCode – Insert headers and Footers de mettre à jour leur plug-in au moins vers la version 2.0.

9. La version la plus récente du plugin est la 2.0.

10. En savoir plus sur la vulnérabilité sur le site Web de NVD : CVE-2023-1624 Détail

Tags: