Une faille critique se niche dans WordPress depuis 6 ans

Par:
fredericmazue

lun, 25/02/2019 - 16:20

Les chercheurs en sécurité de RIPS Technologies GmbH ont découvert une faille critique dans WordPress qui, si elle est exploitée, permet une exécution de code arbitraire à distance. Cette faille est présente dans toutes les versions de WordPress depuis 6 ans, révèle en exclusivité The Hacker News.

Pour exploiter la faille, il est toutefois nécessaire de disposer d'un compte avec les droits d'auteur. Le principe est assez simple :

Quand une image est téléchargée dans un WordPress, elle est tout d'abord placée dans le répertoire uploads (wp-content/uploads). WordPress crée en parallèle une référence interne à l'image dans la base de données, afin de garder une trace des méta-informations telles que le propriétaire de l'image ou l'heure du téléchargement.

Ces méta-informations sont stockées sous forme d'entrées Post Meta dans la base de données. Chacune de ces entrées est une paire clé / valeur, affectée à un certain identifiant.

Le problème avec ces entrées Post Meta est qu'il est possible de les modifier et de leur donner n'importe quelle valeur arbitraire lors d'une mise à jour de l'image car WordPress ne fait alors pas de vérification. Ensuite le mécanisme de chargement des images fait que les entrées Post Meta bidouillées peuvent conduire WordPress à télécharger un fichier malicieux distant. (démonstration dans les vidéo ci-dessous). Un billet de blog de RIPS Technologies donne tous les détails techniques concernant cette vulnérabilité.

Cette vulnérabilité est présente dans toutes les versions de WordPress depuis 6 ans. Il se trouve que la correction d'une autre vulnérabilité apportée à partir des versions 4.9.9 et 5.0.1 protège celles-ci de l'attaque telle que démontrée ci-dessous, mais ces versions de WordPress restent toutefois vulnérables si elles accueillent un plugin tiers qui permet de modifier les variables Post Meta.   

Les chercheurs de RIPS Technologies précisent qu'ils ont prévenu l'équipe de WordPress de l'existence de cette faille depuis 4 mois, mais que cette faille n'est toujours pas corrigée au moment où nous écrivons ces lignes. Cette correction ne devrait toutefois plus tarder car RIPS et WordPress travaillent à un patch.

Commentaires

En fait, c'est une question de droits.

Ne jamais mettre quelqu'un avec les droits auteurs sur votre blog WordPress résoud le problème.

Oui l'article le dit aussi qu'un attaquant, pour pouvoir attaquer, doit avoir les droits d'auteur dans le WordPress :-) Mais sur un site collaboratif, ne pas accorder les droits d'auteur, ça semble assez difficile :-) Et puis rien ne dit qu'il n'existe pas quelque part (WordPress ou plugin) une autre vulnérabilité qui permette d'obtenir ces droits. Donc si je peux permettre, votre recommandation ne résout pas le problème, même si, bien sûr, elle limite les risques.