Une faille de sécurité dans un plugin WordPress met 200 000 sites en danger

 

Sécurité : Cette vulnérabilité pourrait permettre à des pirates d'effacer tous les sites équipés du plugin, et de s'emparer des droits d'administrateur.

Les propriétaires de sites WordPress qui utilisent des thèmes commerciaux fournis par ThemeGrill doivent être attentifs à une faille de sécurité qui pourrait permettre d'effacer leur site en cas d'attaque.

La vulnérabilité réside dans ThemeGrill Demo Importer, un plugin fourni avec certains thèmes vendus par ThemeGrill, une société de développement web qui vend des thèmes commerciaux pour WordPress. Il est conseillé de mettre à jour ce plugin afin de corriger le bug critique.

Le plugin, installé sur plus de 200 000 sites, permet aux propriétaires du site d'importer du contenu de démonstration dans son template ThemeGrill afin d'avoir des exemples et un point de départ sur lequel construire son propre site.

D'anciennes versions vulnérables

Dans un rapport publié dimanche, la société de sécurité WordPress WebARX affirme que les anciennes versions de l'importateur de démonstrations ThemeGrill sont vulnérables aux attaques à distance. Les pirates peuvent envoyer une charge utile spécialement conçue pour les sites vulnérables et déclencher une fonction à l'intérieur du plugin.

La fonction vulnérable réinitialise et remet à zéro toutes les données, effaçant ainsi le contenu de tous les sites WordPress où un thème ThemeGrill est actif et où le plugin vulnérable est installé. De plus, si la base de données du site contient un utilisateur nommé "admin", l'attaquant se voit accorder l'accès à cet utilisateur avec tous les droits d'administrateur sur le site.

WebARX indique que la vulnérabilité affecte toutes les versions du plugin ThemeGrill Demo Importer entre la version 1.3.4 et 1.6.1. ThemeGrill, le développeur du plugin, a corrigé le bug et publié la version 1.6.2 au cours du week-end.

Autres vulnérabilités WordPress

C'est la deuxième faille de sécurité trouvé sur un plugin WordPress cette année qui peut permettre aux attaquants d'effacer les bases de données des sites. Le mois dernier, l'équipe de Wordfence a révélé un problème similaire dans le plugin WP Database Reset, installé sur plus de 80 000 sites.

Parmi les autres bugs WordPress importants qui ont été révélés cette année, on peut citer :

  • Une vulnérabilité inter-sites stockée dans le plugin GDPR Cookie Consent, utilisé par plus de 700 000 sites.
  • Une vulnérabilité CSRF-to-RCE dans le plugin Code Snippets, utilisé par plus de 200 000 sites.
  • Un bug de contournement de l'authentification dans le plugin InfiniteWP, utilisé par plus de 300 000 sites.

Source : ZDNet.fr