C’est la saison des failles. Après avoir révélé qu’il était possible de prendre le contrôle de trottinettes, mais aussi, de façon plus classique, celui de votre site WordPress si vous utilisez le plug-in assez populaire « Simple Social Buttons », et celle annonçant une faille dans certaines version de Drupal (voir l’article de developpez.com), c’est au tour de thehackernews.com de nous révéler la découverte d’un nouveau problème concernant WordPress.
Une faille découverte par des chercheurs allemands
Ce sont les chercheurs en cybersécurité du RIPS Technologies GmbH, une entreprise spécialisée en cybersécurité, qui ont dévoilé leur découverte. Cette vulnérabilité critique affecte toutes les versions du logiciel de gestion de contenu WordPress publiées au cours des 6 dernières années. Jusqu’à la version 5.0.3.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
On peut exécuter du code à distance, à condition de disposer de privilèges faibles avec au moins un compte « author » utilisant une combinaison de deux vulnérabilités distinctes.
Selon Simon Scannell, chercheur au RIPS Technologies GmbH, l’attaque profite de la façon dont le système de gestion d’images WordPress traite les entrées Post Meta utilisées pour stocker la description, la taille, le créateur et d’autres méta-informations des images téléchargées
Il faut un compte auteur
Certes pour y parvenir, il faut pouvoir s’identifier et donc il faut disposer d’au moins un compte « author ».
Cela limite donc le risque et la gravité de la chose. L’attaque n’est accessible qu’à des pirates disposant d’un tel compte, même avec peu de privilèges, c’est-à-dire autorisés à écrire, mais pas à administrer.
Des combinaisons login-mdp dans la nature
Ceci étant, cela pourrait concerner des sites qui ont ouvert des accès à de nombreux auteurs dont l’un est parti de l’entreprise (licenciement, etc.). Ou des entreprises victimes de hackers qui ont réussi à récupérer les informations d’identification d’un auteur du site. Rappelons que des millions de combinaisons login-mot de passe se trouvent dans la nature actuellement, accessibles à une quantité de hackers, même débutants.
Dans ce cas, le pirate pourrait causer pas mal de dégâts. En s’insérant dans la faille appelée Path Traversal, il peut exécuter du code php et prendre totalement le contrôle du site. Selon les experts, il n’est plus possible de réussir une telle attaque depuis les version 4.9.9 et 5.0.1. dans la mesure où des correctifs empêchent désormais des utilisateurs non autorisés de définir des entrées Post Meta arbitraires. Cependant, la faille en tant que telle n’est toujours pas corrigée. Elle le sera dans les prochaines versions de WordPress.