Une faille dans un plug-in WordPress permet d’effacer le site Web !

Une faille de sécurité critique a été découverte dans un plug-in actif sur plus de 8 000 sites basés sur WordPress. Un site vulnérable permet à un attaquant authentifié de réinitialiser et d'effacer le site WordPress.

Le plug-in concerné par cette vulnérabilité critique se nomme Hashthemes Demo Importer. Son objectif ? Faciliter l'utilisation de certains thèmes en important des démos reconfigurées, comprenant les dépendances (autres plug-ins). À cause de cette faille de sécurité, un attaquant peut réinitialiser complètement le site WordPress en supprimant le contenu de la base de données et du dossier "uploads" qui contient les médias, notamment les images.

D'après Ram Gall, ingénieur chez Wordfence et analyste en menaces, le plug-in n'effectue pas correctement certaines vérifications. Ce qui pose problème, c'est une fonction AJAX nommée "hdi_install_demo" et un paramètre nommé "reset" qui peut être défini sur "true". Si c'est le cas, le plug-in va effacer le contenu de la base de données, à l'exception de trois tables : wp_options, wp_users, et wp_usermeta. Ensuite, la fonction "clear_uploads" va supprimer l'intégralité des médias.

Pour exploiter cette faille de sécurité, il faut être authentifié sur le site en question. Néanmoins, il n'est pas nécessaire d'être connecté en tant qu'administrateur, il suffit d'avoir un compte, y compris si c'est avec le rôle "Abonné" qui est le rôle avec le moins de droits sur WordPress. Si vous autorisez l'inscription de nouveaux utilisateurs, cette vulnérabilité est particulièrement dangereuse.

L'équipe de Wordfence a remonté cette faille de sécurité aux développeurs de Hashthemes Demo Importer le 25 août 2021. Néanmoins, le message est resté sans réponse... Du coup, Wordfence a contacté WordPress directement le 20 septembre dernier. Résultat, le plug-in a été retiré le jour même du site WordPress et il a été remis en ligne 4 jours plus tard, suite à la correction du bug de sécurité. Malheureusement, le changelog du plug-in ne fait pas mention de la correction d'une faille de sécurité, ce qui n'alerte pas les utilisateurs quant à l'urgence de mettre à jour le plug-in.

Dans cette histoire, heureusement que Wordfence a fait preuve de persévérance... Si vous utilisez ce plug-in, vous savez ce qu'il vous reste à faire.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3369 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.