Défaut arbitraire de suppression de fichier présent dans WordPress Core

La communauté de la sécurité a été en effervescence cette semaine suite à la divulgation d’une vulnérabilité présente dans toutes les versions actuelles de WordPress. La faille, publiée dans un rapport détaillé par RIPS Technologies, permet à tout utilisateur connecté avec un rôle Auteur ou supérieur d’effacer des fichiers sur le serveur.

En exploitant cette vulnérabilité de suppression de fichiers arbitraires, les acteurs malveillants peuvent pivoter et prendre le contrôle des sites affectés. Le rapport contient les détails complets de la vulnérabilité, mais nous l’avons résumé pour une consommation plus occasionnelle.

Il est important de noter que même si l’impact de cette faille peut être sévère sur les sites affectés, l’exigence que les pirates sécurisent des informations d’identification valides au niveau de l’auteur limite considérablement la surface d’attaque globale de cette vulnérabilité.

Récapitulatif des vulnérabilités

Dans une installation WordPress standard, tout utilisateur connecté avec un rôle d’auteur ou supérieur a la possibilité de télécharger des pièces jointes multimédia et d’éditer leurs métadonnées, comme les images et leurs descriptions. Une faille dans le processus de mise à jour des métadonnées de pièce jointe permet à un utilisateur malveillant de soumettre une entrée non analisée dans la définition d’une vignette pour le fichier multimédia. En définissant les chemins relatifs aux fichiers ciblés comme la « vignette » d’une image, ces fichiers sont supprimés à côté des vignettes réelles lorsque l’image est supprimée de la bibliothèque multimédia.

Plusieurs conséquences potentielles d’une vulnérabilité de suppression de fichier arbitraire ont été discutées dans le rapport de divulgation, mais surtout, le fichier wp-config.php d’un site peut être supprimé. Sans wp-config.php, WordPress est forcé de supposer qu’une nouvelle installation est en cours. À partir de ce point, l’attaquant peut configurer lui-même sa propre installation WordPress en tant qu’administrateur, qu’il peut ensuite utiliser pour télécharger et exécuter les autres scripts qu’il souhaite.

Que faire

Jusqu’à ce qu’une mise à jour officielle soit publiée pour corriger la faille, nous avons mis à jour le pare-feu de nos clients afin d’éviter que cette vulnérabilité ne soit exploitée. Nos clients et utilisateurs auront reçu la mise à jour avant la publication de cet article.

En l’absence de la protection de notre pare-feu, rappelez-vous qu’un pirate doit avoir accès à un compte d’utilisateur avec des autorisations Auteur ou plus. Bien que cela limite strictement la surface d’attaque de cette vulnérabilité, sachez que les attaques par bourrage d’informations d’identification ont pris de la valeur, car il existe désormais un plus grand nombre de comptes actifs avec la capacité effective d’abattre un site. Notre solution de protection inclut des fonctionnalités de sécurité de connexion robustes, y compris la protection par mot de passe qui a été divulgué en mars.

S’il vous plaît aider à créer une prise de conscience de cette vulnérabilité dans la communauté WordPress, car de nombreux propriétaires de sites WordPress ne sont pas conscients des risques des comptes de niveau «Author» non sécurisés.