Une faille de WP Statistics permet aux pirates de dérober les données de sites WordPress

0

WP Statistics, un plugin installé sur plus de 600 000 sites Web WordPress, présente une vulnérabilité de sécurité par injection SQL qui pourrait permettre aux visiteurs du site de récupérer toutes sortes d’informations sensibles provenant de bases de données Web, y compris des e-mails, des données de carte de crédit, des mots de passe, etc…

WP Statistics, comme son nom l’indique, est un plugin qui fournit des informations de visites aux propriétaires de sites, y compris le nombre de personnes qui visitent le site, leur provenance, les navigateurs et les moteurs de recherche qu’ils utilisent et les pages, catégories et balises qui ont le plus de visites. Il fournit également des données anonymisées autour des adresses IP, des sites référents et des détails au niveau du pays et de la ville pour les visiteurs, tous présentés sous forme de graphiques.

Les chercheurs de Wordfence ont trouvé la faille de haute gravité (identifiée comme CVE-2021-24340, avec une note de 7,5 sur 10 sur l’échelle CVSS) dans la fonction «Pages», qui permet aux administrateurs de voir quelles pages ont reçu le plus de trafic. Il renvoie ces données à l’aide de requêtes SQL à une base de données principale – mais il s’avère que des attaquants non authentifiés peuvent détourner la fonction pour effectuer leurs propres requêtes, afin de voler des informations sensibles.

wp statistics

«Alors que la page ‘Pages’ était destinée uniquement aux administrateurs et n’afficherait pas d’informations aux utilisateurs qui n’ont pas de privilège d’administrateurs, il était possible de commencer à charger le constructeur de cette page en envoyant une requête à wp-admin/admin.php avec le paramètre de page défini sur wps_pages_page », ont déclaré les chercheurs de Wordfence. «Étant donné que la requête SQL s’exécutait dans le constructeur de la page ‘Pages’, cela signifiait que tout visiteur du site, même ceux sans connexion, pouvait provoquer l’exécution de cette requête SQL. Un individu malveillant pourrait alors fournir des valeurs malveillantes pour les paramètres d’ID ou de type. »

wordpress

La vulnérabilité spécifique de WP Statistics est une injection SQL aveugle basée sur le temps, selon des chercheurs de Wordfence. Cette technique consiste à envoyer des requêtes à la base de données qui «supposent» le contenu d’une table de base de données et demandent à la base de données de retarder la réponse ou de «dormir» si cette hypothèse est correcte.

Par exemple, un attaquant pourrait demander à la base de données si la première lettre de l’adresse e-mail de l’utilisateur de niveau administrateur commence par la lettre «A» et lui demander de retarder la réponse de cinq secondes si cela est vrai.

«L’exfiltration d’informations serait un processus relativement lent, et il ne serait pas pratique de les utiliser pour extraire des données en masse, mais des informations de grande valeur telles que les e-mails des utilisateurs, les hachages de mots de passe et les clés de chiffrement et les sels pourraient être extraits en quelques heures avec l’aide d’outils automatisés tels que sqlmap », selon Wordfence. «Dans une attaque ciblée, cette vulnérabilité pourrait être utilisée pour extraire des informations personnellement identifiables à partir de sites commerciaux contenant des informations sur les clients. Cela souligne l’importance de disposer de protections de sécurité avec un pare-feu de point de terminaison en place partout où des données sensibles sont stockées. »

La seule méthode fiable pour empêcher l’injection SQL est de préparer toutes les instructions SQL avant de les exécuter, ont ajouté les chercheurs. Les instructions préparées isolent chaque paramètre de requête afin qu’un adversaire ne puisse pas voir l’étendue entière des données renvoyées.

«Malheureusement, alors que cette requête SQL utilisait esc_sql pour tenter d’échapper les paramètres d’entrée ID et type, elle n’a pas utilisé une instruction préparée», ont expliqué les chercheurs. «Étant donné que le paramètre d’entrée ID n’était pas cité, il était trivial de contourner la fonction esc_sql et de générer des requêtes qui pourraient être utilisées pour extraire des informations sensibles du site.»

VeronaLabs, le développeur de WP Statistics, a déployé un correctif avec la version 13.0.8, les administrateurs du site doivent donc appliquer la mise à jour le plus rapidement possible.

Un bug similaire a été trouvé plus tôt en Mai, ce dernier affectait le plugin «Spam protection, AntiSpam, FireWall by CleanTalk», qui est installé sur plus de 100 000 sites. Cela a également permis aux adversaires d’utiliser l’approche de SQL aveugle basée sur le temps, également sans avoir à être connecté pour lancer une attaque.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire