WordPress, une faille de plugin affecte 700 000 sites

Un plugin WordPress qui aide à rendre les sites Web conformes au Règlement général sur la protection des données (RGPD), a distribué des patchs pour une faille critique. Si elle est exploitée, cette vulnérabilité pourrait permettre à des pirates informatiques de modifier le contenu ou d’injecter du code JavaScript malveillant dans les sites Web des victimes.

Le plug-in, GDPR Cookie Consent, qui aide les entreprises à afficher des bannières de cookies pour montrer qu’elles sont conformes à la réglementation de l’Union Européenne en matière de confidentialité, possède plus de 700 000 installations actives – ce qui en fait une cible idéal pour les hackers. La vulnérabilité, qui n’a pas encore d’identifiant CVE, affecte la version 1.8.2 de GDPR Cookie Consent et les versions antérieures. Après que le développeur ait été informé de la faille critique, le plugin GDPR Cookie Consent a été supprimé du répertoire de plugins WordPress.org “en attendant une révision complète” selon la page du répertoire du plugin. La nouvelle version, 1.8.3, a été distribuée par Cookie Law Info, le développeur du plugin, le 10 février 2020.

«Il y a eu un certain nombre de changements dans le code, mais ceux qui concernent la sécurité incluent une vérification des capacités ajoutée à un point de terminaison AJAX utilisé dans les pages d’administration du plugin», selon des chercheurs de Wordfence. Bien que Wordfence ait divulgué les détails de la vulnérabilité, elle a été découverte par Jerome Bruandet, chercheur en sécurité chez NinTechNet, qui a également détaillé ses trouvailles dans un article.

wordpress

La vulnérabilité est causée par des contrôles d’accès incorrects dans un point de terminaison utilisé par l’API (Interface de Programmation d’Application) AJAX du plugin de WordPress. Ce point de terminaison est la méthode «_construct» du plugin, utilisée pour initialiser le code des objets nouvellement créés. Une fois les actions créées, elles sont envoyées via AJAX à la méthode «_construct»; cependant, ce processus ne parvient pas à implémenter des vérifications.

wordpress wordfence

Pour cette raison, le point de terminaison AJAX, destiné à être uniquement accessible aux administrateurs, a également permis aux utilisateurs moins privilégier d’effectuer un certain nombre d’actions pouvant compromettre la sécurité du site, ont déclaré les chercheurs. Par exemple, un abonné est un rôle d’utilisateur dans WordPress, généralement avec des capacités très limitées, y compris la connexion au site Web et la publication de commentaires. Grâce à cette faille de sécurité, un abonné pourrait effectuer beaucoup plus d’actions.

La méthode «_construct» accepte trois valeurs différentes de l’API AJAX. Deux d’entre eux, save_contentdata et autosave_contant_data, peuvent être exploités par un pirate informatique.

La méthode save_contentdata est utilisée pour permettre aux administrateurs d’enregistrer les notifications de cookies RGPD dans la base de données en tant que type de publication de page. Cependant, comme cette méthode n’est pas vérifiée, un utilisateur authentifié ou un abonné peut modifier n’importe quelle page ou publication existante (ou le site Web entier) et les mettre hors ligne en changeant leur statut «publié» en «brouillon».

«De plus, il est possible de supprimer ou de modifier leur contenu. Le contenu injecté peut inclure du texte formaté, des images locales ou distantes ainsi que des hyperliens et des shortcodes », a déclaré Bruandet.

L’autre méthode, autosave_contant_data, est utilisée pour enregistrer la page d’informations du cookie RGPD en arrière-plan pendant que l’administrateur la modifie, en enregistrant les données dans le champ de la base de données cli_pg_content_data sans les valider. Cependant, l’absence de vérifications pour cette méthode pourrait permettre à un utilisateur authentifié d’injecter du code JavaScript dans la page Web. Ce code serait ensuite chargé et exécuté chaque fois que quelqu’un visite la page «http://example.com/cli-policy-preview/».

Comment se protéger de cette faille du plugin GDPR Cookie Consent sur WordPress?

Les chercheurs qui ont découvert cette vulnérabilité recommandent aux utilisateurs du plugin WordPress de le mettre à jour dès que possible: «Cette vulnérabilité a été patchée dans la version 1.8.3. Nous recommandons aux utilisateurs de mettre immédiatement à jour vers la dernière version disponible. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de