ThemeGrill Demo Importer: 1 faille dans le plugin WordPress

Les chercheurs ont recommandé aux utilisateurs du plugin WordPress, ThemeGrill Demo Importer, de faire une mise à jour dès que possible après avoir découvert que des pirates informatiques exploitent une faille dans le plugin.

Le plugin ThemeGrill Demo Importer appartient à la société ThemeGrill, qui distribue des templates pour les sites Web. Ce plugin WordPress aide les utilisateurs à importer et à gérer des modèles ThemeGrill sur leurs sites. Le plugin avait plus de 200 000 installations actives. Selon WebARX, qui a découvert la faille, ce nombre a chuté à 100 000 installations. On ne sait pas pour l’instant ce qui explique la baisse du nombre d’installations de plugins WordPress.

wordpress

Les chercheurs ont révélé une faille dans le plugin qui permet à des pirates informatiques distants non authentifiés d’exécuter certaines fonctions d’administrateur – sans avoir à s’authentifier. L’une de ces fonctions est la possibilité d’effacer l’intégralité de la base de données du site Web vulnérable, de la ramener à son état par défaut et d’effacer les bases de données du site Web, les publications et les rôles d’utilisateur existants. Après avoir exploité cette faille, un hacker serait également connecté en tant qu’administrateur, ce qui lui donnerait un contrôle total sur le site Web.

“Il s’agit d’une vulnérabilité qui peut causer des dommages importants”, selon les chercheurs de WebARX dans un article. «Comme il ne nécessite aucun payload suspect… aucun pare-feu ne les bloque par défaut et une règle spéciale doit être créée pour bloquer cette vulnérabilité.»

Les versions 1.3.4 à 1.6.1 sont affectées par cette faille. Selon le répertoire de plugins WordPress, les versions 1.4, 1.5 et 1.6 représentent 98,6% des versions actives du plugin. Les chercheurs affirment que le problème est présent dans le code du plugin depuis environ trois ans (depuis la version 1.3.4).

Les chercheurs ont découvert la vulnérabilité le 5 février 2020 et l’ont signalée aux développeurs du plugin. ThemeGrill a distribué la nouvelle version patchée du plugin, la version 1.6.2. Cependant, selon les rapports, des exploits actifs de la vulnérabilité ont été découverts, certains sites Web affectés affichent un message WordPress «Hello World». Le message «Hello World» est un message défini par WordPress en tant que message d’espace réservé pour le contenu lors de l’installation initiale.

WebARX a confirmé que la vulnérabilité est activement exploitée par les pirates et a déclaré qu’ils avaient bloqué plus de 16 000 attaques ciblant cette vulnérabilité depuis le 16 février (une liste d’adresses IP exploitant activement la faille peut être trouvée ici).

Détails techniques de la faille de ThemeGrill Demo Importer

Les chercheurs ont déclaré que la condition préalable à cet exploit est qu’il doit y avoir un thème installé et activé sur les sites Web concernés qui a été distribué par ThemeGrill. Et pour être automatiquement connecté en tant qu’administrateur, il doit y avoir un utilisateur appelé «admin» dans la base de données du site Web.

Une fois que le plugin a détecté qu’un thème ThemeGrill est installé et activé, il peut télécharger des fichiers ( /includes/class-demo-importer.php) qui interagissent ensuite avec admin_init. Un hook est utilisé comme moyen pour un morceau de code d’interagir ou de modifier un autre morceau de code. Admin_init est spécifiquement utilisé pour initialiser les paramètres spécifiques aux fonctions d’administrateur.

Le problème provient spécifiquement du hook admin_init du plugin quand il appelle /wp-admin/admin-ajax.php, il ne nécessite pas d’authentification d’un utilisateur. Ce problème (qui était présent dans d’autres plugins auparavant, y compris WP Live Chat Support et d’autres) signifie qu’un pirate informatique pourrait simplement créer une requête spécialement conçue pour le point de terminaison /wp-admin/admin-ajax.php et se verrait alors accorder l’accès en tant qu’utilisateur avec certaines autorisations administratives sur le site Web.

“Admin_init est un hook auquel les plugins peuvent se connecter”, ont expliqué les chercheurs. “Il est exécuté sur tous les écrans/scripts d’administration. Cependant, cela inclut également /wp-admin/admin-ajax.php qui est également utilisé pour les appels par des utilisateurs non authentifiés. »

themegrill demo importer

Après qu’un hacker ait obtenu des privilèges d’administrateur, il pourrait alors avoir des permissions «admin» et effacer tous les tableaux WordPress commençant par le préfixe de base de données WordPress défini. Cela effacerait essentiellement la base de données afin que le site Web soit réinitialisé à ses paramètres par défaut et toutes les données de la base de données soient effacées – y compris tous les rôles d’utilisateur, les publications et les pages du site Web, et plus encore, ont déclaré les chercheurs.

Les chercheurs ont aussi déclaré que la faille n’avait pas encore de numéro CVE ou de score CVSS.

Les vulnérabilités ne sont pas rares dans les plugins de WordPress. La semaine dernière, par exemple, le populaire plug-in WordPress GDPR Cookie Consent, a publié des patchs pour une faille critique qui, si elle était exploitée, pourrait permettre aux hackers de modifier le contenu ou d’injecter du code JavaScript malveillant dans les sites Web des victimes.