Des vulnérabilités critiques détectées dans un plug-in WordPress

30 juin 2021 à 15h55
1
Wordpress Clubic © Clubic.com
© Clubic

Des vulnérabilités critiques et faciles à exploiter ont été découvertes dans un plug-in WordPress.

Le plug-in concerné est ProfilePress, qui est installé sur plus de 400 000 sites. Mais bonne nouvelle, une mise à jour est disponible.

Des fonctionnalités mal implémentées à l'origine des vulnérabilités

Il y a un mois, Chloe Chamberland de l'équipe de la Wordfence Threat Intelligence a trouvé plusieurs vulnérabilités dans le plug-in ProfilePress, connu auparavant sous le nom de WP User Avatar. De base, ce plug-in ne servait qu'à permettre d'ajouter des avatars à un profil utilisateur, mais s'est depuis amélioré avec de nouvelles fonctionnalités comme l'inscription et la connexion d'utilisateurs sur un site. Ce sont ces fonctionnalités qui sont au cœur du problème aujourd'hui puisqu'elles n'ont pas été implémentées correctement.

La première vulnérabilité est liée au fait que les utilisateurs peuvent modifier leurs propres métadonnées lors de leur inscription sur un site. Le problème vient du fait qu'aucune vérification, à part le contrôle de la saisie de caractères pour ne pas laisser la case vide, n'est mise en place sur le contenu de ces données fournies par l'utilisateur avant d'être enregistrées. Il est donc possible de fournir « wp_capabilities » en tant que paramètre et donc de modifier son rôle pour se désigner comme administrateur d'un site.

Encore pire, le plug-in ne vérifie pas si les administrateurs ont permis ou non l'inscription d'utilisateurs. Donc même si l'option est désactivée, de nouvelles personnes peuvent s'enregistrer en tant qu'admin. Cette vulnérabilité est également détectée lors de la mise à jour d'un profil.

Une autre vulnérabilité se trouve dans la fonction permettant à des utilisateurs de fournir une image et une bannière pour agrémenter leur profil. La seule vérification du format de fichier uploadé par l'utilisateur est réalisée avec la fonction exif_imagetype(), qui n'est pas sécurisée. Cette fonction vérifie uniquement les premiers octets d'un fichier pour déterminer son format et peut très facilement être contournée en ajoutant ces octets au début d'un fichier PHP par exemple pour le faire passer pour une image. Un attaquant pourrait donc très facilement prendre le contrôle du site de cette manière, et ce, dès l'inscription.

Une mise à jour disponible

Il est également possible pour un attaquant d'uploader n'importe quel fichier dans le cas où les administrateurs d'un site auraient activé l'option « custom fields ». Cette option nécessite qu'un administrateur fournisse les extensions de fichiers acceptées. Si ce n'est pas fait, le plug-in ne fait aucune vérification et n'importe quel fichier peut être enregistré sur le serveur.

Ces vulnérabilités ont un CVSS Score de 9.8, ce qui les classe dans la catégorie « critique ». La chercheuse indique avoir attendu 30 jours pour en parler publiquement, afin de permettre aux versions payantes et gratuites de ProfilePress de bénéficier de la mise à jour. Toutes les versions inférieures à la 3.1.4 sont vulnérables et il est conseillé de faire la dernière mise à jour, qui est la 3.1.8.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
Voir tous les messages sur le forum

Lectures liées

Pourquoi Apple est-elle impuissante face à des logiciels tels que Pegasus ?
Cyberattaque : la France est dans le viseur de hackers chinois
Profitez des offres VPN à prix bradé du moment
Sauvegarde et anticipation : les clés pour se protéger des ransomwares cet été (Vidéo)
Projet Pegasus : pour Edward Snowden, il faut bannir tous les logiciels d'espionnage
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Projet Pegasus : un logiciel espion israélien
Microsoft en cours d'acquisition de RiskIQ, spécialiste de la cyber-sécurité pour $500 millions
Le VPN CyberGhost frappe fort avec sa nouvelle offre à 1,99€/mois pendant 15 mois !
Avast et NortonLifeLock seraient en pourparlers pour envisager une fusion
Haut de page