Code Snippets, 200 000 sites vulnérables à cause du plugin

Une faille de sécurité importante a été découverte dans Code Snippets, un plugin pour les sites WordPress. 200 000 sites seraient concernés par cette vulnérabilité.

Code Snippets permet aux utilisateurs d’exécuter des petits bouts de code PHP sur leurs sites. Cela peut être utilisé pour améliorer les fonctionnalités du site. La faille de sécurité (CVE-2020-8417) a été patché par le développeur du plugin, Code Snippets Pro.

“C’est un problème important qui pourrait causer des prises de contrôle complètes du site, des divulgations d’information et bien d’autres choses encore,” a déclaré Chloe Chamberland, chercheuse de Wordfence qui est responsable de la découverte de la faille. “Nous recommandons de mettre à jour vers la dernière version (2.14.0) immédiatement.”

wordpress code snippets

Code Snippets offre un menu d’importation pour importer du code sur le site. Cependant, les chercheurs ont découvert que le menu d’importation avait une vérification de référence manquante, ce qui a permit à la page web de voir d’où venait les requêtes. Cela signifie que du code malveillant pouvait être activé lors de l’importation.

Les sites affectés couraient donc le risque de subir des attaques cross-site request forgery (CSRF), une attaque qui force les victimes (une fois qu’elles ont cliqué sur un lien malveillant) à exécuter des actions non-voulues sur les applications web dans lesquelles elles sont couramment authentifiées.

Dans la vidéo ci-dessous, les chercheurs ont montré comment un pirate informatique pouvait créer une requête malveillante et persuader un administrateur de cliquer sur un lien qui déclencherait la requête. Cette requête exécute une action, envoie une requête vers le site et le code malveillant du hacker peut ensuite être injecté et exécuté sur le site.

“Avec des vulnérabilités d’exécutions de code à distance, les possibilités d’exploitation sont sans-fin,” a déclaré Chloe Chamberland. “Un hacker pourrait créer un nouveau compte d’administrateur sur le site, récupérer des informations sensibles, infecter les utilisateurs du site, et bien d’autres choses encore.”

Comment se protéger de cette faille de Code Snippets?

La faille a été découverte le 23 Janvier 2020. Un patch a été déployé par les développeurs le 25 Janvier 2020. Les experts en sécurité informatique recommandent aux utilisateurs de Code Snippets de mettre à jour leur plugin vers la dernière version disponible le plus vite possible.

C’est donc le nouveau plugin WordPress à devoir faire face à des problèmes de sécurité en ce début d’année 2020. Le mois dernier, 2 plugins, InfiniteWP Client et WP Time Capsule, étaient concernés par un bug critique de contournement d’autorisation qui permettait aux pirates informatiques d’accéder au backend du site sans mot de passe. En Décembre, une faille majeure dans les plugins Ultimate Addons for Beaver Builder et Ultimate Addons for Elementor avait été découverte. Cette faille permettait d’obtenir un accès administratif.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x