La vulnérabilité de WordPress atteint +1 million en utilisant le plugin d’en-tête et de pied de page

Publié le 07 juin 2023 par Mycamer

Le plugin WordPress WPCode – Insert Headers and Footers + Custom Code Snippets, avec plus d’un million d’installations, a été découvert comme ayant une vulnérabilité qui pourrait permettre à l’attaquant de supprimer des fichiers sur le serveur.

L’avertissement de la vulnérabilité a été publié sur la base de données nationale des vulnérabilités du gouvernement des États-Unis (NVD).

Insertion d’en-têtes et de pieds de page

Le plugin WPCode (anciennement connu sous le nom d’Insert Headers and Footers par WPBeginner), est un plugin populaire qui permet aux éditeurs WordPress d’ajouter des extraits de code à la zone d’en-tête et de pied de page.

Ceci est utile pour les éditeurs qui doivent ajouter un code de validation de site Google Search Console, un code CSS, des données structurées, voire du code AdSense, pratiquement tout ce qui appartient à l’en-tête ou au pied de page d’un site Web.

Vulnérabilité de falsification de requête intersite (CSRF)

Le plug-in WPCode – Insert headers and Footers avant la version 2.0.9 contient ce qui a été identifié comme une vulnérabilité Cross-Site Request Forgery (CSRF).

Une attaque CSRF consiste à inciter un utilisateur final enregistré sur le site WordPress à cliquer sur un lien qui effectue une action indésirable.

L’attaquant s’appuie essentiellement sur les informations d’identification de l’utilisateur enregistré pour effectuer des actions sur le site sur lequel l’utilisateur est enregistré.

Lorsqu’un utilisateur WordPress connecté clique sur un lien contenant une demande malveillante, le site est obligé d’exécuter la demande car il utilise un navigateur avec des cookies qui identifie correctement l’utilisateur comme étant connecté.

C’est l’action malveillante que l’utilisateur enregistré exécute sans le savoir et sur laquelle l’attaquant compte.

L’organisation à but non lucratif Open Worldwide Application Security Project (OWASP) décrit une vulnérabilité CSRF :

« Cross-Site Request Forgery (CSRF) est une attaque qui force un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié.

Avec un peu d’aide d’ingénierie sociale (comme l’envoi d’un lien par e-mail ou chat), un attaquant peut inciter les utilisateurs d’une application Web à exécuter les actions de son choix.

Si la victime est un utilisateur normal, une attaque CSRF réussie peut forcer l’utilisateur à effectuer des demandes de changement d’état telles que le transfert de fonds, la modification de son adresse e-mail, etc.

Si la victime est un compte administratif, CSRF peut compromettre l’intégralité de l’application Web.

Le Énumération des faiblesses communes (CWE), qui est sponsorisé par le Department of Homeland Security des États-Unis, propose une définition de ce type de CSRF :

“L’application Web ne vérifie pas ou ne peut pas vérifier suffisamment si une demande bien formée, valide et cohérente a été intentionnellement fournie par l’utilisateur qui a soumis la demande.

… Lorsqu’un serveur Web est conçu pour recevoir une demande d’un client sans aucun mécanisme permettant de vérifier qu’elle a été envoyée intentionnellement, il peut être possible pour un attaquant de tromper un client en lui faisant faire une demande involontaire au serveur Web qui sera traitée comme une demande authentique.

Cela peut être fait via une URL, un chargement d’image, XMLHttpRequest, etc. et peut entraîner l’exposition de données ou l’exécution de code involontaire.

Dans ce cas particulier, les actions indésirables se limitent à la suppression des fichiers journaux.

La base de données nationale sur les vulnérabilités a publié les détails de la vulnérabilité :

«Le plugin WPCode WordPress avant 2.0.9 a un CSRF défectueux lors de la suppression du journal et ne garantit pas que le fichier à supprimer se trouve dans le dossier attendu.

Cela pourrait permettre aux attaquants de faire en sorte que les utilisateurs disposant de la capacité wpcode_activate_snippets suppriment des fichiers journaux arbitraires sur le serveur, y compris en dehors des dossiers du blog.

Le site Web WPScan (propriété d’Automattic) a publié une preuve de concept de la vulnérabilité.

Une preuve de concept, dans ce contexte, est un code qui vérifie et démontre qu’une vulnérabilité peut fonctionner.

C’est le preuve de concept:

"Make a logged in user with the wpcode_activate_snippets capability open the URL below



https://example.com/wp-admin/admin.php?page=wpcode-tools&view;=logs&wpcode;_action=delete_log&log;=../../delete-me.log



This will make them delete the ~/wp-content/delete-me.log"

Deuxième vulnérabilité pour 2023

Il s’agit de la deuxième vulnérabilité découverte en 2023 pour le plugin WPCode Insert Headers and Footers.

Une autre vulnérabilité a été découverte en février 2023, affectant les versions 2.0.6 ou moins, que la société de sécurité Wordfence WordPress a décrite comme une “Autorisation manquante pour la divulgation/mise à jour de clé sensible.”

Selon le NVD, le rapport de vulnérabilité, la vulnérabilité a également affecté les versions jusqu’à 2.0.7.

Le NVD averti de la vulnérabilité précédente :

“Le plugin WPCode WordPress avant 2.0.7 n’a pas de contrôles de privilèges adéquats en place pour plusieurs actions AJAX, ne vérifiant que le nonce.

Cela peut conduire à autoriser tout utilisateur authentifié qui peut modifier des publications à appeler les points de terminaison liés à l’authentification de la bibliothèque WPCode (comme la mise à jour et la suppression de la clé d’authentification).

WPCode a publié un correctif de sécurité

Le journal des modifications pour le plugin WordPress WPCode – Insert Headers and Footers note de manière responsable qu’ils ont corrigé un problème de sécurité.

UN notation du journal des modifications pour la mise à jour de la version 2.0.9 États:

“Correctif : renforcement de la sécurité pour la suppression des journaux.”

La notation du journal des modifications est importante car elle alerte les utilisateurs du plugin du contenu de la mise à jour et leur permet de prendre une décision éclairée sur l’opportunité de procéder à la mise à jour ou d’attendre la suivante.

WPCode a agi de manière responsable en répondant à la découverte de la vulnérabilité en temps opportun et en notant également le correctif de sécurité dans le journal des modifications.

Actions recommandées

Il est recommandé aux utilisateurs du plug-in WPCode – Insert headers and Footers de mettre à jour leur plug-in au moins vers la version 2.0.9.

La version la plus récente du plugin est la 2.0.10.

Lisez à propos de la vulnérabilité sur le site Web de NVD :

CVE-2023-1624 Détail



to www.searchenginejournal.com


Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931