L’information est donnée par les experts de bjCSIRT : WordPress présente quatre vulnérabilités classées critiques. Elles comportent des risques d’exploitation malveillante en mesure soit de compromettre la plateforme, soit d’exécuter des scripts arbitraires ou d’accéder à des données sensibles. Pour chacune de ces failles décelées dans WordPress, les experts de bjCSIRT ont pris le soin de préciser les mesures à prendre, notamment en matière de cybersécurité.
es vulnérabilités identifiées dans WordPress sont : la possibilité de contournement d’authentification dans le plugin Login with Phone Number, à laquelle s’ajoute trois vulnérabilités, respectivement de type file upload dans le plugin InstaWP Connect, de type XSS stockée dans le bloc Avatar et d’élévation de privilèges dans le plugin WP Datepicker. Explications !
Contournement d’authentification dans le plugin
Login with Phone Number de WordPress
Le plugin “Login with Phone Number” de WordPress permet de s’enregistrer et de se connecter sur un site WordPress grâce à un numéro de téléphone. Le client s’authentifie en utilisant un OTP reçu sur son numéro de téléphone.
Ce plugin est affecté par une vulnérabilité libellée CVE-2024-5150. Son exploitation permettrait à un acteur malveillant non authentifié de se connecter à n’importe quel compte utilisateur existant, y compris les comptes administrateurs, en ayant connaissance de l’adresse e-mail de l’utilisateur cible. Cette faille est due à la valeur par défaut vide de la fonction “activation code” et à l’absence de vérification des valeurs non vides dans la fonction “lwp_ajax_register”. Cette vulnérabilité, classée critique avec un score CVSSv3 de 9.8, présente des risques de compromission de la plateforme. Toutes les versions du plugin Login with phone number antérieures à la version 1.7.27
Mesures à prendre : Mettre à jour la version du plugin Login with phone number vers la version 1.7.27 ou ultérieure.
Vulnérabilité de type file upload dans le plugin
InstaWP Connect de WordPress
InstaWP Connect est un plugin WordPress qui permet de créer des environnements de staging complets pour tester, développer, éditer ou cloner votre site à partir du tableau de bord. Ce plugin est affecté par une vulnérabilité libellée CVE-2024-2667. Elle est due à une validation insuffisante des fichiers uploadés, par l’API REST. Son exploitation permettrait à un acteur malveillant de téléverser, sans restriction, des fichiers sur le système cible.
Cette vulnérabilité, classée critique avec un score de sévérité de 9.8, présente des risques de compromission du système, d’exécution de scripts arbitraires et l’accès à des données sensibles. Toutes les diverses versions du plugin InstaWP Connect antérieures à la version 0.1.0.22 incluse sont affectées.
Mesures à prendre : Mettre à jour le plugin InstaWP Connect vers la dernière version disponible.
Vulnérabilité de type XSS stockée dans le bloc Avatar
Le bloc Avatar de WordPress permet d’afficher la photo et le nom d’un utilisateur sur n’importe quelle publication, page ou modèle. Cette fonctionnalité est affectée par une vulnérabilité libellée CVE-2024-4439. Elle est due à un échappement insuffisant des caractères présents dans le nom affiché. Son exploitation permettrait à un acteur malveillant authentifié, et disposant d’un accès contributeur ou supérieur, d’injecter des scripts malveillants. Cette vulnérabilité, classée critique avec un score de sévérité de 7.2, présente des risques de compromission du système, d’accès à des données sensibles. Toutes les diverses versions de WordPress antérieures à la version 6.5.2 sont affectées.
Mesures à prendre : Mettre à jour WordPress vers la dernière version disponible.
Vulnérabilité de type élévation de privilèges dans
le plugin WP Datepicker de WordPress
WP Datepicker est un plugin WordPress utilisé pour la gestion des saisies de date et d’heure dans les formulaires des sites WordPress. Ce plugin est affecté par une vulnérabilité libellée CVE-2024-3895. Elle est due à une mauvaise vérification des autorisations de la fonction wpdp_add_new_datepicker_ajax () dans les versions du plugin WP Datepicker. Son exploitation permettrait à un acteur malveillant authentifié, disposant d’un accès au niveau de l’abonné ou supérieur, de modifier des options arbitraires pour obtenir des privilèges supplémentaires au sein du système. Cette vulnérabilité, classée critique avec un score de sévérité de 8.8, présente des risques de compromission du système, d’élévation de privilèges et d’accès à des données sensibles. Toutes les versions du plugin WP Datepicker antérieures à la version 2.1.1 sont affectées.
Mesures à prendre : Mettre à jour le plugin WP Datepicker vers la dernière version disponible.
Amadou Bamba NIANGJournaliste et Consultant
Source : bjCSIRT