Une vulnérabilité de haute gravité récemment découverte dans un plugin WordPress a exposé quelque 60 000 sites Web à un risque de prise de contrôle de site Web, d’exfiltration de données ou d’exécution de code à distance.
C’est selon Wordfence Threat Intelligence, une équipe de recherche qui recherche les bogues dans l’une des plateformes CMS les plus populaires au monde, WordPress.
Le rapport de Wordfence explique qu’à la mi-avril, l’équipe a découvert une vulnérabilité d’injection d’objets dans le plugin Booking Calendar qui, au moment de mettre sous presse, comptait plus de 60 000 installations.
Exécuter du code arbitraire
Le plugin donne aux webmasters la possibilité d’ajouter un système de réservation au site, qui inclut la possibilité de publier un calendrier flexible, montrant les réservations et les ouvertures existantes.
La chronologie flexible permet également aux webmasters de configurer les préférences et les options d’affichage lors de la visualisation de la chronologie publiée. Certaines de ces options ont été transmises dans les données sérialisées de PHP, a expliqué Wordfence, et un attaquant pourrait contrôler ces données via plusieurs méthodes.
« Chaque fois qu’un attaquant peut contrôler des données non sérialisées par PHP, il peut injecter un objet PHP avec les propriétés de son choix », indique l’annonce. « Si une « chaîne POP » est également présente, elle peut permettre à un attaquant d’exécuter du code arbitraire, de supprimer des fichiers ou de détruire ou de prendre le contrôle d’un site Web vulnérable. »
La doublure argentée de la découverte est que Wordfence n’a trouvé aucune chaîne POP dans le plugin Booking, ce qui signifie que les attaquants auraient besoin de « un peu de chance » et de recherches supplémentaires pour utiliser la faille. Pourtant, comme les chaînes POP apparaissent souvent dans les bibliothèques de logiciels, la menace est réelle.
Wordfence a informé les développeurs de ses conclusions à la mi-avril et le correctif a été déployé en trois jours. Les utilisateurs sont invités à appliquer le patch à la version 9.1.1. du plugin, dès que possible.
Étant parmi les plates-formes d’hébergement de sites Web les plus populaires au monde, WordPress et ses plugins sont souvent ciblés par les acteurs de la menace, à la recherche de jours zéro par lesquels ils pourraient déployer des logiciels malveillants. Alors que WordPress lui-même est généralement considéré comme sûr, ses milliers de plugins tiers sont susceptibles de souffrir de quelques vulnérabilités.