Post Grid: 2 failles permettent de prendre le contrôle des sites

Deux vulnérabilités de haute gravité dans Post Grid, un plugin WordPress avec plus de 60 000 installations, ouvre la porte à des prises de contrôle de sites, selon les chercheurs. Pour commencer, des failles presque identiques se trouvent également dans le plug-in sœur de Post Grid, Team Showcase, qui compte 6 000 installations.

Les vulnérabilités de Post Grid sont une faille de script intersite (XSS) ainsi qu’un problème d’injection d’objets PHP. Les deux failles sont en attente de numéros CVE, et les deux sont de gravité élevée, avec une note de 7,5 sur 10 sur l’échelle de notation de vulnérabilité CvSS.

Post Grid, fidèle à son nom, permet aux utilisateurs d’afficher leurs publications dans une disposition en grille. Team Showcase offre un moyen de mettre facilement en évidence les membres de l’équipe d’une organisation. Les deux ont permis l’importation de mises en page personnalisées et ont utilisé des fonctions presque identiques – et vulnérables – pour ce faire, selon Ram Gall, chercheur chez Wordfence.

post grid

La faille XSS de Post Grid permettrait à un pirate informatique de fournir un paramètre source pointant vers une charge malveillante hébergée ailleurs. La fonction ouvrirait alors le fichier contenant la charge utile, le décoderait et créerait une nouvelle mise en page basée sur son contenu.

«La mise en page créée comprenait une section custom_scripts, et un attaquant pourrait ajouter du code JavaScript malveillant à la partie custom_css de cette section», a expliqué Gall, dans un article. “Cela serait ensuite exécuté chaque fois qu’un utilisateur administratif modifiait la mise en page ou qu’un visiteur visitait une page en fonction de la mise en page.”

Le résultat est que les attaquants pourraient utiliser le code JavaScript malveillant pour ajouter un administrateur malveillant, ajouter une porte dérobée aux fichiers de plug-in ou de thème, ou voler les informations de session de l’administrateur, toutes ces possibilités permettent d’atteindre la prise de contrôle d’un site.

Déclencher un exploit est également quelque peu trivial.

«Dans les deux cas, un attaquant connecté avec des autorisations minimales comme un abonné pourrait déclencher les fonctions en envoyant une requête AJAX, l’action étant définie sur post_grid_import_xml_layouts pour le plugin Post Grid ou team_import_xml_layouts pour le plugin Team Showcase, chaque action déclenchant une fonction du même nom », a expliqué Gall.

wordpress

Le deuxième problème, la faille d’injection d’objets PHP, survient dans la fonction d’importation car il a désérialisé la charge utile fournie dans le paramètre source. Un attaquant pourrait donc exécuter du code arbitraire, supprimer ou écrire des fichiers, ou effectuer n’importe quel nombre d’autres actions pouvant conduire à une prise de contrôle du site.

Pour déclencher la faille, «un attaquant pourrait créer une chaîne qui serait désérialisée dans un objet PHP actif», a expliqué Gall. «Bien qu’aucun plugin n’utilise de méthode vulnérable, si un autre plugin utilisant une méthode vulnérable était installé, l’injection d’objets pourrait être utilisée par un attaquant.»

Les deux vulnérabilités exigeraient généralement que l’attaquant ait un compte avec au moins des privilèges de niveau abonné – mais il existe une faille.

«Cependant, les sites utilisant un plugin ou un thème permettant aux visiteurs non authentifiés d’exécuter des codes courts arbitraires seraient vulnérables aux attaquants non authentifiés», a ajouté Gall.

Comment se protéger de ces failles de Post Grid et Team Showcase?

Le développeur des plug-ins, PickPlugins, a déployé des correctifs. Les administrateurs Web doivent donc procéder à la mise à niveau dès que possible. Les versions corrigées sont Post Grid v. 2.0.73 et Team Showcase v. 1.22.16.

Ce sont les derniers plugins WordPress défectueux qui ont été découverts cette année. En Septembre, une faille très grave dans le plugin Email Subscribers & Newsletters d’Icegram affectait plus de 100 000 sites Web WordPress.

Plus tôt au mois d’Août, un plugin conçu pour ajouter des quiz et des enquêtes aux sites Web WordPress a corrigé deux vulnérabilités critiques. Les failles pourraient être exploitées par des attaquants distants et non authentifiés pour lancer diverses attaques, y compris en prenant complètement le contrôle de sites Web vulnérables. Toujours en Août, Newsletter, un plugin WordPress avec plus de 300 000 installations, contenait une paire de vulnérabilités qui pourraient conduire à l’exécution de code et même à la prise de contrôle du site.

Et, en Juillet, les chercheurs ont mis en garde contre une vulnérabilité critique dans un plugin WordPress appelé Comments – wpDiscuz, qui est installé sur plus de 70 000 sites Web. La faille a donné aux attaquants non authentifiés la possibilité de télécharger des fichiers arbitraires (y compris des fichiers PHP) et d’exécuter finalement du code à distance sur des serveurs de sites Web vulnérables.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x