WordPress: l’extension Adning Advertising était vulnérable

Le plugin Adning Advertising de WordPress, une extension premium avec plus de 8000 clients, contient une vulnérabilité critique d’exécution de code à distance qui pourrait être exploitée par des attaquants non authentifiés.

L’auteur du plugin, Tunafish, a déployé une version corrigée (v.1.5.6), que les propriétaires du site doivent mettre à jour dès que possible. Aucun CVE n’a été délivré.

La faille de sécurité d’Adning Advertising pourrait permettre une prise de contrôle complète du site, ce qui lui vaut une note de 10 sur 10 sur l’échelle CVSS. En outre, il a déjà fait l’objet d’attaques dans la nature, selon une analyse de Wordfence. Cela dit, la société a déclaré que les attaques jusqu’à présent étaient de portée et d’ampleur limitées.

La faille existe dans la capacité du plugin Adning Advertising à permettre aux utilisateurs de télécharger des images de bannière, ont déclaré des chercheurs.

“Afin de fournir cette fonctionnalité, il a utilisé l’action AJAX, ning_upload_image”, selon les chercheurs. “Malheureusement, cette action AJAX était disponible avec un hook nopriv, ce qui signifie que tout visiteur du site pouvait l’utiliser, même s’il n’était pas connecté. De plus, la fonction appelée par cette action AJAX n’a ​​pas non plus fait de vérification des capacités ou de vérification de nonce. “

Cette fonction d’Adning Advertising a également permis à l’utilisateur de fournir les types de fichiers «autorisés» – ce qui signifie qu’un attaquant non authentifié pourrait télécharger du code malveillant en envoyant une requête POST à ​​wp-admin/admin-ajax.php.

Cela pourrait être effectué “avec le paramètre d’action défini sur _ning_upload_image, le paramètre allowed_file_types défini sur php et un paramètre de fichiers contenant un fichier PHP malveillant”, ont déclaré les chercheurs. “Alternativement, un attaquant pourrait définir le allowed_file_types sur zip et envoyer une archive compressée contenant un fichier PHP malveillant, qui serait décompressé après le téléchargement.”

Une seconde faille d’Adning Advertising

Les chercheurs de Wordfence ont également trouvé une deuxième vulnérabilité dans Adning Advertising qui permet la suppression de fichiers arbitraires non authentifiés via la traversée de chemin.

Dotée d’un score CVSS de gravité élevée de 8,7, cette faille est également corrigée dans la version v.1.5.6 de Adning Advertising.

“Afin de supprimer toutes les images téléchargées, le plugin a également utilisé une autre action ajax, ning_remove_image, qui a également utilisé un hook nopriv“, selon l’analyse d’Adning Advertising. «Comme pour la vulnérabilité de téléchargement, cette fonction n’a pas effectué de vérification de capacité ou de nonce. Il était donc possible pour un attaquant non authentifié de supprimer des fichiers arbitraires en utilisant la traversée de chemin. »

wordpress adning advertising

De plus, selon Wordfence, si un attaquant était en mesure de supprimer le fichier spécifique wp-config.php, le site serait réinitialisé, offrant aux attaquants la possibilité de le reconstituer. Ils pouvaient utiliser leurs propres bases de données distantes, remplaçant efficacement le contenu du site par leur propre contenu.

«Cela pourrait nécessiter une étape supplémentaire de préparation, qui est que le dossier wp-content/uploads/path devrait exister», selon Wordfence. «Cependant, comme la vulnérabilité de téléchargement de fichiers arbitraire mentionnée précédemment permettait la création de répertoires, ce n’était pas un obstacle majeur. Une fois le répertoire créé, un attaquant pourrait envoyer une requête POST à ​​wp-admin/admin-ajax.php avec le paramètre d’action défini sur _ning_remove_image, le paramètre uid défini sur /../../ .. et l’ensemble de paramètres src sur wp-config.php.”

Les plugins de WordPress: le maillon faible

Adning Advertising est loin d’être le premier plugin de WordPress concerné par des vulnérabilités.

Les plugins WordPress continuent d’être concerné par des vulnérabilités concernant les sites à risque. En Mai par exemple, Page Builder by SiteOrigin, un plugin WordPress qui compte un million d’installations actives et qui est utilisé pour créer des sites Web via une fonction glisser-déposer, étaient vulnérables à 2 failles de sécurité qui pourraient permettre une prise de contrôle complète du site.

En Avril, il a été révélé qu’un nombre important de visiteurs du site Web pouvaient être infectées par des logiciels malveillants, entre autres, grâce à une faille CSRF dans Real-Time Search and Replace. Durant le même mois, une paire de vulnérabilités (dont une critique), dans le plugin d’optimisation SEO de WordPress connu sous le nom de Rank Math, a été découverte. Ces failles pourraient permettre aux cybercriminels distants d’élever leurs privilèges et d’installer des redirections malveillantes sur un site cible, selon les chercheurs. RankMath est un plugin WordPress avec plus de 200 000 installations.

wordpress code snippets adning advertising

En Mars, une autre vulnérabilité critique dans un plugin WordPress appelé «ThemeREX Addons» a été trouvée et ouvrait la porte à l’exécution de code à distance dans 44 000 sites Web.

Toujours en Mars, deux vulnérabilités – y compris une faille de haute gravité – ont été corrigées dans un plugin WordPress populaire appelé Popup Builder. La faille la plus grave pourrait permettre à un attaquant non authentifié d’injecter du JavaScript malveillant dans une fenêtre contextuelle – rendant potentiellement plus de 100 000 sites Web vulnérables à la prise de contrôle.

Et en Février, le populaire plugin WordPress Duplicator, qui compte plus d’un million d’installations actives, a été découvert comme présentant une vulnérabilité de téléchargement de fichiers arbitraires non authentifié qui était attaquée. Et, plus tôt ce mois-ci, une faille critique dans un plugin WordPress populaire qui aide à rendre les sites Web conformes au Règlement général sur la protection des données (RGPD) a été révélée. Cette faille pourrait permettre aux attaquants de modifier le contenu ou d’injecter du code JavaScript malveillant dans les sites Web des victimes. Elle concernait 700 000 sites.