3 plugins de WordPress atteints par plusieurs failles

Des chercheurs ont révélé des failles de gravité critique dans trois plugins WordPress populaires largement utilisés par les collèges et universités: LearnPress, LearnDash et LifterLMS. Les failles, maintenant corrigées, pourraient permettre aux étudiants de voler des informations personnelles, de changer leurs notes, de tricher sur les tests et plus encore.

Ces plugins vulnérables de WordPress ont été installés sur plus de 130 000 sites Web d’écoles, y compris ceux utilisés à l’Université de Floride, à l’Université du Michigan et à l’Université de Washington. Les écoles utilisent ces plugins dans le cadre de leurs systèmes de gestion de l’apprentissage (LMS-Learning Management System). Les plateformes LMS, utilisées pour administrer, suivre et organiser les cours, sont actuellement essentielles à cause de l’augmentation de cours en ligne causée par la pandémie du coronavirus.

LearnPress est utilisé sur les plateformes LMS pour créer des cours avec des quiz et des leçons pour les étudiants, et a été installé 80 000 fois. LearnDash fournit des outils pour vendre des cours en ligne et est utilisé par plus de 33 000 sites Web WordPress. Pour finir, LifterLMS fournit des exemples de cours et de questionnaires, et est utilisé par plus de 17 000 sites Web WordPress.

«Nous avons prouvé que les pirates pouvaient facilement prendre le contrôle de l’ensemble de la plateforme e-learning. Les meilleurs établissements d’enseignement, ainsi que de nombreuses académies en ligne, s’appuient sur les systèmes sur lesquels nous avons effectué des recherches pour exécuter l’intégralité de leurs cours et programmes de formation en ligne », a déclaré Omri Herscovici, chef de l’équipe de Check Point, dans une analyse.

«Les vulnérabilités trouvées permettent aux étudiants, et parfois même aux utilisateurs non authentifiés, d’obtenir des informations sensibles ou de prendre le contrôle des plateformes LMS. Nous demandons aux personnes concernées de mettre à jour vers les dernières versions de toutes les plates-formes. »

wordpress code snippets

Les failles varient en termes de gravité et d’impact, mais pourraient permettre à des personnes tiers de voler des informations personnelles (telles que les noms, les e-mails, les noms d’utilisateur et les mots de passe) ou cibler les méthodes de paiement liées aux plates-formes. De plus, ces vulnérabilités auraient pu donner aux étudiants la possibilité de changer leurs notes ou celles de leurs amis, récupérer les tests en avance, obtenir les privilèges d’un enseignant et forger des certificats de fin d’études.

Détails techniques des failles de ces 3 plugins de WordPress

Les chercheurs n’ont eu besoin que de 2 semaines pour découvrir ces failles au mois de Mars. Toutes les vulnérabilités ont depuis été signalées aux développeurs de ces plugins WordPress et ont été patchées.

Une vulnérabilité d’injection SQL (CVE-2020-6010) existe dans les versions 3.2.6.7 et antérieures de LearnPress, les chercheurs ont déclaré qu’elle est “très triviale à identifier et à exploiter”. Plus précisément, la faille se trouve dans la méthode _get_items de la classe LP_Modal_Search_Items. La méthode ne parvient pas à filtrer suffisamment les données fournies par l’utilisateur avant de les utiliser dans une requête SQL. Cela peut être exploité par un attaquant authentifié en envoyant simplement une requête spéciale vers /wp-admin/admin-ajax.php, la page d’administration des sites WordPress.

Cela «permettrait aux étudiants et même aux utilisateurs non authentifiés de récupérer l’intégralité du contenu de la base de données et de dérober des informations personnelles comme dans toute autre plate-forme compromise qui a des utilisateurs enregistrés (noms, e-mails, noms d’utilisateur, mots de passe, etc.)», a déclaré Herscovici. “Obtenir le hachage de l’administrateur et le casser permet à l’attaquant d’obtenir un contrôle total sur le serveur.”

Dans une autre faille de LearnPress (CVE-2020-11511), la fonction learn_press_accept_become_a_teacher ne vérifie pas les autorisations de l’utilisateur demandeur – afin que tout le monde puisse appeler la fonction, qu’il soit enseignant ou non. Cette faille d’élévation de privilèges peut être exploitée par un étudiant pour se faire passer pour un enseignant et se donner un accès aux notes, aux tests et plus encore.

Dans les versions antérieures à 3.1.6 de LearnDash, les chercheurs ont trouvé une injection SQL non authentifiée (CVE-2020-6009) provenant du fichier ld-groups.php. Le fichier n’a pas réussi à assainir les données fournies par l’utilisateur avant de les utiliser dans une requête SQL. Semblable à CVE-2020-6010, cette faille permet aux pirates d’accéder à l’intégralité du contenu de la base de données et de dérober des informations personnelles. La faille a une note de 9,8 sur 10 sur l’échelle CVSS, ce qui la rend critique en termes de gravité.

Enfin, les chercheurs ont trouvé une faille d’écriture de fichier (CVE-2020-6008) dans les versions antérieures à 3.37.15 de LifterLMS. La faille existe en raison de la validation insuffisante des fichiers lors du téléchargement. Des pirates distants peuvent exploiter la faille pour exécuter du code et prendre efficacement le contrôle des plates-formes d’apprentissage. Cette faille a une note de 9,8 sur 10 sur l’échelle CVSS.

“L’injection SQL est très dangereuse car elle permet de dérober l’intégralité de la base de données du site Web qui contient toutes les informations, y compris le mot de passe haché de l’administrateur”, a déclaré Herscovici. “Mais le plus dangereux est l’écriture de fichiers arbitraire (CVE-2020-6008) qui permet à l’attaquant de télécharger son propre code sur le serveur, réalisant ainsi instantanément l’exécution complète de code à distance.”

wordpress

WordPress est encore une fois la cible de pirates. Il faut aussi noté que plusieurs campagnes de malwares précédemment découvertes ont ciblé des organismes éducatifs.

Des pirates ont tenté de compromettre une université canadienne de recherche médicale. D’autres ont été touchées par des attaques Zoom-bombing, où les attaquants détournent des cours en ligne en utilisant la plateforme Zoom pour envoyer des messages ou des vidéos haineuses. Et la semaine dernière, des chercheurs ont déclaré que plusieurs universités américaines avaient été ciblées dans une attaque d’hameçonnage à grande échelle utilisant des rencontres entre adultes comme leurre. En réalité, les e-mails propageaient le cheval de Troie d’accès à distance Hupigon.

Si cet article vous a plu, jetez un œil à notre article précédent.