Le plugin ThemeREX est vulnérable à des exécutions de code

Une vulnérabilité critique dans un plugin de WordPress nommé «ThemeREX Addons» pourrait permettre l’exécution de code à distance sur des dizaines de milliers de sites Web. Selon Wordfence, la faille est activement exploitée par des pirates informatiques.

Le plugin, qui est installé sur environ 44 000 sites, est utilisé pour appliquer divers «skins» qui régissent l’apparence des destinations Web, y compris des fonctionnalités et des widgets améliorant le thème.

Pour assurer la compatibilité avec le plugin Gutenberg sur WordPress, le plugin ThemeREX Addons utilise une API, selon les propos de la chercheuse de Wordfence, Chloe Chamberland, dans un article publié la semaine dernière. Lorsque l’API interagit avec Gutenberg, les points de contact de cette communication sont appelés points de terminaison. ThemeREX utilise le fichier «~/includes/plugin.rest-api.php» pour enregistrer le point de terminaison («/trx_addons/v2/get/sc_layout»), qui à son tour appelle la fonction «trx_addons_rest_get_sc_layout».

Cela entraîne un problème de contrôle d’accès, a noté le chercheur. Dans les versions non patchées de ThemeREX, «il n’y avait aucune vérification de capacité sur ce point de terminaison qui bloquerait les utilisateurs qui n’étaient pas administrateurs ou actuellement connectés, donc tout utilisateur avait la possibilité d’appeler le point de terminaison indépendamment de ses permissions», a-t-elle expliqué. «De plus, il n’y a pas eu de contrôle de nonce pour vérifier l’authenticité de la source.»

themerex

Plus bas dans le code de l’extension, il y a aussi une fonctionnalité utilisée pour obtenir les paramètres des widgets qui fonctionnent avec le plugin Gutenberg.

«C’est là que le cœur de la vulnérabilité d’exécution de code à distance se trouvait», a écrit Chamberland. «Il n’y avait aucune restriction sur les fonctions PHP pouvant être utilisées ou sur les paramètres fournis en entrée. Au lieu de cela, il y’a un simple ‘if (function_exists ($sc))’ permettant à toute fonction PHP d’être appelée et exécutée. »

themerex

Au final les pirates informatiques peuvent utiliser diverses fonctions WordPress. Par exemple, dans les attaques détectées, la fonction “wp_insert_user” a été utilisée pour créer des comptes d’utilisateurs administratifs et prendre le contrôle des sites, selon le papier de recherche.

ThemeREX a maintenant résolu le problème en supprimant complètement le fichier ‘~/plugin.rest-api.php’ dans le plugin. Les utilisateurs doivent mettre à jour vers la dernière version pour se protéger.

ThemeREX et bien d’autres

Les plugins WordPress continuent d’être une des cibles préférées des cybercriminels. Le mois dernier, le célèbre plugin WordPress Duplicator, qui compte plus d’un million d’installations actives, était concerné par une vulnérabilité de téléchargement de fichiers arbitraires non authentifié qui était exploitée par des pirates informatiques.

Et, un peu plus tôt au mois de février, une faille critique dans un plugin WordPress populaire qui aide à rendre les sites Web conformes au Règlement général sur la protection des données (RGPD) a été révélée. Cette faille permettait aux hakcers de modifier le contenu ou d’injecter du code JavaScript malveillant dans les sites Web des victimes. 700 000 sites internet étaient concernés par cette vulnérabilité.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x