WordPress, 2 extensions concernées par une faille

Si vous utilisez WordPress, ainsi que des versions non à jour de “Ultimate Addons for Beaver Builder” ou “Ultimate Addons for Elementor“, vous pouvez être la cible de pirates.

WordPress est un système de gestion de contenu (SGC ou content management system (CMS) en anglais) gratuit, libre et open-source. Ce logiciel écrit en PHP repose sur une base de données MySQL et est distribué par l’entreprise américaine Automattic. Les fonctionnalités de WordPress lui permettent de créer et gérer différents types de sites Web : blogue, site de vente en ligne, site vitrine ou encore portfolio. Il est distribué selon les termes de la licence GNU GPL version 2. Le logiciel est aussi à l’origine du service WordPress.com.

En octobre 2019, WordPress est utilisé par 34,7 % des sites web dans le monde, ses concurrents directs sont à 2,7 % (Joomla) et à 1,7 % (Drupal) tandis que 43,6 % des sites n’utilisent pas de Système de Gestion de Contenu

Des chercheurs en sécurité informatique ont découvert une vulnérabilité de contournement d’authentification dans ces 2 plugins WordPress qui permettent aux hackers de d’obtenir un accès administratif aux sites sans avoir besoin de mots de passe.

Ce qui est le plus inquiétant c’est que des opportunistes ont déjà commencé à exploiter cette vulnérabilité seulement 2 jours après sa découverte pour compromettre les sites WordPress vulnérables et installer une porte dérobée pour garder un accès.

Les 2 extensions vulnérables, créés par la compagnie de développement de logiciel Brainstorm Force, sont installées sur des centaines de milliers de sites WordPress. Les frameworks de Elementor et Beaver Builder aident les administrateurs et les designers de sites web à augmenter les fonctionnalités de leurs sites avec plus de widgets, de modules et de modèles de page.

Découverte par les chercheurs de MalCare, la vulnérabilité est causée par le fait que les 2 plugins permettent aux détenteurs de comptes WordPress, y compris les administrateurs, de s’authentifier en utilisant les mécanismes de connexion de Facebook et Google.

wordpress

Selon le rapport de la vulnérabilité, à cause du manque de vérification dans la méthode d’authentification quand un usager se connecte avec Google ou Facebook, les plugins vulnérables peuvent être poussé à permettre aux utilisateurs malveillants de se connecter en se faisant passer pour n’importe quel autre utilisateur sans avoir besoin d’un mot de passe.

“Cependant, les méthodes de vérification ne vérifiaient pas le token retourné par Facebook ou Google, et comme elles ne requièrent pas de mot de passe, il n’y avait pas de vérification de mot de passe,” ont expliqué les chercheurs de WebARX, qui ont aussi analysé le faille et confirmé son exploitation active.

“Pour exploiter la vulnérabilité, le hacker doit utiliser l’identifiant email d’un administrateur du site. Dans la plupart des cas, cette informations peut être récupéré facilement,” a déclaré MalCare.

WebARX a confirmé que les hackers abusent de cette faille pour installer un faux plugin de statistiques SEO après l’envoi d’un fichier nommé tmp.zip sur le serveur WordPress ciblé. Ce dernier dépose un fichier de porte dérobée nommé wp-xmlrpc.php dans le dossier racine du site vulnérable.

MalCare a découvert cette vulnérabilité le 11 décembre et l’a signalé aux développeurs de ces extensions qui ont adressé le problème et distribué des versions patchées en seulement 7 heures.

La vulnérabilité de contournement d’authentification a été patché avec la sortie de “Ultimate Addons for Elementor version 1.20.1” et “Ultimate Addons for Beaver Builder version 1.24.1“. Il est recommandé d’installer ces mises à jour le plus rapidement possible.

WordPress encore et toujours

Ce n’est pas la première fois cette année que WordPress est en première page pour une vulnérabilité affectant le CMS(système de gestion de contenu) ou l’une de ses extensions.

En Juin, une faille avait été trouvé dans le plugin WordPress Live Chat. Cette faille permettait à un hacker de subtiliser  les logs de conversations et de manipuler les sessions à distance.

En Avril, un bug avait été découvert dans l’application iOS qui partageait les tokens des utilisateurs dont les blogs utilisaient des images hébergés sur des sites tiers.

En Mars, des chercheurs avaient découvert une faille CSRF(Cross Site Request Forgery) dans les versions antérieures à 5.11. Cette vulnérabilité permettait à un individu non-authentifié de compromettre les sites WordPress

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x