De graves vulnrabilits ont t dcouvertes par des chercheurs dans trois plugins WordPress savoir InfiniteWP Client, WP Time Capsule et WP Database Reset. Pour les deux premiers, il s’agit d’un bogue permettant facilement n’importe quel utilisateur d’accder un compte administrateur. Pour WP Database Reset, la faille autorise tous les utilisateurs authentifier de rinitialiser toutes les tables de la base de donnes ou de bnficier des privilges administratifs.

Marc-Alexandre Montpas, chercheur chez Web Sucuri, explique dans un article que  des vulnrabilits logiques comme celles observes dans cette rcente divulgation peuvent entraner de graves problmes pour les applications et composants Web. Ces failles peuvent tre exploites pour contourner les contrles d’authentification – et dans ce cas, se connecter un compte administrateur sans mot de passe .

Le 7 janvier, l’entreprise WebARX, spcialise en cyberscurit a alert Revmakx, le dveloppeur de InfiniteWP Client et WP Time Capsule, sur la prsence de failles critiques permettant n’importe qui d’accder un compte administrateur sans aucune information d’identification. Ainsi, des malfaiteurs auraient pu supprimer du contenu, ajouter de nouveaux comptes et excuter d’autres tches malveillantes. D’ailleurs, le problme est trs important au vu du nombre de sites utilisant les deux plugins : 300 000 pour InfiniteWP Client et 30 000 pour WP Time Capsule.

 Du fait de la nature de la vulnrabilit, le contournement de l’authentification est rendu possible grce une erreur logique dans le code [de WP Database Reset], qui ne produit pas de raction suspecte des pare-feux. Il peut donc tre difficile de trouver et de dterminer d’o viennent ces problmes , reconnat Revmakx.

Le dveloppeur a ainsi ragi rapidement et a propos les versions 1.9.4.5 de InfiniteWP Client et 1.21.16 de WP Time Capsule, qui corrigent les failles.

Dans la nouvelle version, le code qui corrige la faille se prsente comme suit :

Comme indiqu sur l’image, les dveloppeurs n’ont modifi que les actions add_site et readd_site qui ne rempliront plus la variable request_params mais reviendront au dbut de la fonction.

Un jour aprs la dcouverte de WebARX, le fournisseur de pare-feu d’applications Web Wordfence a inform le dveloppeur de WP Database Reset qu’elle a identifi deux failles de scurit critiques : CVE-2020-7048 et CVE-2020-7047. La premire permet toute personne non authentifie de rinitialiser toutes les tables de la base de donnes. La seconde, quant elle, donne la possibilit aux utilisateurs authentifis de bnficier de privilges administratifs et de pouvoir  supprimer tous les autres utilisateurs de la table avec une simple requte .

Le 13 janvier, le dveloppeur du plugin install sur environ 80 000 sites a rpondu la signalisation et le lendemain, la version 3.15, corrigeant les deux failles, a t rendue disponible.

Si ce jour, aucun site ne semble tre affect cause de ces failles, les dveloppeurs de ces plugins ont rapidement ragi et ont propos des mises jour corrigeant les bogues. Les utilisateurs de ces trois plugins devraient donc les mettre jour immdiatement pour viter des attaques.

Sources : WebARX, Wordfence

Et Vous ?

Qu’en pensez-vous ?
Utilisez-vous l’un de ces plugins sur votre site ? Les avez-vous dj mis jour ?
Avez-vous remarqu d’autres vulnrabilits lies ces plugins ?

Voir aussi :

Parmi les sites CMS pirats en 2018, 90 % sont des sites WordPress, et 97 % des sites PrestaShop pirats sont obsoltes, selon un rapport
WordPress : le nombre de vulnrabilits a tripl en 2018. Une tude pointe du doigt les plugins comme la principale source des failles du CMS
Des milliers de sites WordPress infects redirigent les visiteurs vers des pages d’escroquerie au faux support technique



Source link

Write a comment:
*

Your email address will not be published.