Une faille WordPress non corrigée donne aux attaquants un contrôle total sur votre site

La semaine dernière, nous avons reçu un conseil sur une vulnérabilité non corrigée dans le noyau de WordPress, ce qui pourrait permettre à un utilisateur à faible privilège de pirater tout le site et d’exécuter du code arbitraire sur le serveur.

Découverte par des chercheurs de RIPS Technologies GmbH, la vulnérabilité " authentication arbitraire file deletion " a été signalée il y a 7 mois à l’équipe de sécurité de WordPress mais reste non corrigée et affecte toutes les versions de WordPress, y compris l’actuel 4.9.6.

La vulnérabilité réside dans l’une des fonctions de base de WordPress qui s’exécute en arrière-plan lorsqu’un utilisateur supprime définitivement la vignette d’une image téléchargée.

Les chercheurs constatent que la fonction de suppression de vignettes accepte une entrée non gérée par l’utilisateur, qui, si elle est tempérée, pourrait permettre aux utilisateurs disposant d’un privilège limité d’au moins un auteur de supprimer tout fichier de l’hébergement Web.

L’exigence d’au moins un compte auteur réduit automatiquement la gravité de cette faille dans une certaine mesure, ce qui pourrait être exploité par un contributeur malveillant ou un pirate qui gagne en quelque sorte des informations d’auteur en utilisant l’hameçonnage, la réutilisation de mot de passe ou d’autres attaques.

Les chercheurs disent qu’en utilisant cette faille, un attaquant peut supprimer tous les fichiers critiques comme ".htaccess" du serveur, qui contient généralement des configurations liées à la sécurité, dans le but de désactiver la protection.

En outre, en supprimant " wp-config.php"fichier-l’un des fichiers de configuration les plus importants dans l’installation de WordPress qui contient des informations de connexion à la base de données pourrait renvoyer tout le site à l’écran d’installation, autorisant l’attaquant à reconfigurer le site depuis le navigateur et à prendre complètement le contrôle.

Cependant, il convient de noter que puisque l’attaquant ne peut pas lire directement le contenu du fichier wp-config.php pour connaître le "nom de base de données" existant, "nom d’utilisateur mysql", et son "mot de passe", il peut re-configurer le site ciblé utilisant un serveur de base de données distant sous son contrôle.

Une fois terminé, l’attaquant peut créer un nouveau compte administrateur et prendre le contrôle complet du site Web, y compris la possibilité d’exécuter du code arbitraire sur le serveur.

"Outre la possibilité d’effacer toute l’installation de WordPress, qui peut avoir des conséquences désastreuses si aucune sauvegarde n’est disponible, un attaquant peut utiliser la fonction de suppression de fichier arbitraire pour contourner certaines mesures de sécurité et exécuter du code arbitraire sur le serveur web, "disent les chercheurs.

Dans une vidéo de preuve de concept publiée par les chercheurs, comme indiqué ci-dessus, la vulnérabilité a parfaitement fonctionné comme décrit et forcé le site à ré-installer l’écran.

Cependant, à partir de maintenant, les administrateurs de sites Web ne devraient pas paniquer en raison de cette vulnérabilité et peuvent appliquer manuellement un correctif fourni par les chercheurs.

Nous nous attendons à ce que l’équipe de sécurité de WordPress corrige cette vulnérabilité dans la prochaine version de son logiciel CMS.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image