WordPress: une faille dans le plugin Welcart e-Commerce

Une vulnérabilité de sécurité dans le plugin de WordPress nommé Welcart e-Commerce ouvre les sites Web à l’injection de code. Cela peut entraîner l’installation de skimmers, le crash du site ou la récupération d’informations via l’injection SQL, ont déclaré les chercheurs.

Welcart e-Commerce est un plugin WordPress gratuit qui compte plus de 20 000 installations – il jouit d’une part de marché supérieure au Japon, selon WordPress. Il permet aux propriétaires de sites d’ajouter des achats en ligne à leurs sites, avec des options pour vendre des produits physiques, des produits numériques et des abonnements, avec 16 options de paiement différentes.

La faille de haute gravité (CVE est en attente) est une vulnérabilité d’injection d’objets PHP, qui existe dans la façon dont la plate-forme gère les cookies, selon Wordfence.

«Il utilise ses propres cookies, distincts de ceux utilisés par WordPress, afin de suivre les sessions des utilisateurs», ont expliqué les chercheurs dans un article sur la vulnérabilité. «Chaque requête adressée au site entraîne l’analyse de usces_cookie par la fonction get_cookie. Cette fonction a utilisé usces_unserialize pour décoder le contenu de ce cookie. »

wordpress code snippets

En regardant de plus près, les chercheurs ont découvert qu’il était possible d’envoyer une requête avec le paramètre usces_cookie défini sur une chaîne spécialement conçue qui, une fois non sérialisée, injecterait un objet PHP.

L’injection d’objets PHP est une vulnérabilité au niveau de l’application qui ouvre la voie à l’injection de code, à l’injection SQL, au parcours de chemin et au déni de service des applications.

«La vulnérabilité se produit lorsque les entrées fournies par l’utilisateur ne sont pas correctement assainies avant d’être passées à la fonction PHP unserialize()», selon OWASP. «Puisque PHP autorise la sérialisation d’objets, les attaquants pourraient transmettre des chaînes sérialisées ad hoc à un appel vulnérable unserialize(), ce qui entraînerait une injection arbitraire d’objets PHP dans l’application.»

wordpress themegrill demo importer

Les injections d’objets PHP peuvent souvent être utilisées dans une plus grande chaîne d’exploit qui permet à un attaquant d’utiliser ce que l’on appelle des méthodes magiques, ont ajouté les chercheurs, ce qui permettrait l’exécution de code à distance et la prise de contrôle complète du site. Heureusement, ce n’est pas le cas ici.

«Ce plugin incluait une bibliothèque, tcpdf, qui contient une méthode magique __destruct qui aurait pu être utilisée pour créer une chaîne POP dans d’autres circonstances», selon Wordfence. «Une chaîne POP complète n’était pas présente car le plug-in a désérialisé le cookie avant que la classe TCPDF ne soit chargée et définie, il n’était donc pas possible d’injecter un objet avec cette classe.»

L’éditeur du plugin, Collne Inc., a corrigé le problème dans la version 1.9.36 de Welcart, publiée en octobre. Les administrateurs du site doivent mettre à niveau dès qu’ils le peuvent.

Les plug-in WordPress souvent ciblés

Les plugins WordPress continuent de fournir un moyen pratique d’attaquer les cybercriminels.

En Octobre, deux vulnérabilités de haute gravité ont été révélées dans Post Grid, un plugin WordPress avec plus de 60 000 installations, qui ouvre la porte à des prises de contrôle de sites. Et en Septembre, une faille très grave dans le plugin Email Subscribers & Newsletters d’Icegram a été découverte et affectait plus de 100 000 sites Web WordPress.

Plus tôt, en Août, un plugin conçu pour ajouter des quiz et des sondages aux sites Web WordPress a corrigé deux vulnérabilités critiques. Les failles pourraient être exploitées par des attaquants distants et non authentifiés pour lancer diverses attaques, y compris en prenant complètement le contrôle de sites Web vulnérables. Également en Août, Newsletter, un plugin WordPress avec plus de 300 000 installations, contenait une paire de vulnérabilités qui pourraient conduire à l’exécution de code et même à la prise de contrôle du site.

Et, en Juillet, les chercheurs ont mis en garde contre une vulnérabilité critique dans un plugin WordPress appelé Comments – wpDiscuz, qui est installé sur plus de 70 000 sites Web. La faille a donné aux attaquants non authentifiés la possibilité de télécharger des fichiers arbitraires (y compris des fichiers PHP) et d’exécuter finalement du code à distance sur des serveurs de sites Web vulnérables.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x