Une vulnérabilité de gravité critique dans un plugin WordPress avec plus de 90 000 installations peut permettre aux attaquants d’exécuter du code à distance pour compromettre entièrement les sites Web vulnérables.
Connu sous le nom de Backup Migration, le plugin aide les administrateurs à automatiser les sauvegardes du site vers un stockage local ou un compte Google Drive.
Le bug de sécurité (suivi comme CVE-2023-6553 et évalué avec un score de gravité de 9,8/10) a été découvert par une équipe de chasseurs de bugs connue sous le nom de Nex Team, qui l’a signalé à la société de sécurité WordPress Wordfence dans le cadre d’un programme de bug bounty récemment lancé.
Il affecte toutes les versions du plugin jusqu’à et y compris Backup Migration 1.3.6, et les acteurs malveillants peuvent l’exploiter dans des attaques de faible complexité sans interaction de l’utilisateur.
CVE-2023-6553 permet à des attaquants non authentifiés de prendre le contrôle de sites Web ciblés en obtenant l’exécution de code à distance via l’injection de code PHP via le fichier /includes/backup-heart.php.
« Cela est dû au fait qu’un attaquant est capable de contrôler les valeurs transmises à une inclusion, puis de les exploiter pour réaliser l’exécution de code à distance. Cela permet aux acteurs malveillants non authentifiés d’exécuter facilement du code sur le serveur », a déclaré Wordfence lundi.
« En soumettant une requête spécialement conçue, les acteurs malveillants peuvent exploiter ce problème pour inclure du code PHP arbitraire et malveillant et exécuter des commandes arbitraires sur le serveur sous-jacent dans le contexte de sécurité de l’instance WordPress. »
Dans le fichier /includes/backup-heart.php utilisé par le plugin Backup Migration, une tentative est faite pour incorporer bypasser.php du répertoire BMI_INCLUDES (défini en fusionnant BMI_ROOT_DIR avec la chaîne include) à la ligne 118.
Cependant, BMI_ROOT_DIR est défini via l’en-tête HTTP content-dir trouvé à la ligne 62, soumettant ainsi BMI_ROOT_DIR au contrôle de l’utilisateur.
Patch publié en quelques heures
Wordfence a signalé la faille de sécurité critique à BackupBliss, l’équipe de développement derrière le plugin Backup Migration, le 6 décembre, les développeurs ayant publié un correctif quelques heures plus tard.
Cependant, malgré la sortie de la version corrigée du plugin Backup Migration 1.3.8 le jour du rapport, près de 50 000 sites Web WordPress utilisant une version vulnérable doivent encore être sécurisés près d’une semaine plus tard, comme le montrent les statistiques de téléchargement de l’org WordPress.org.
Il est fortement conseillé aux administrateurs de sécuriser leurs sites Web contre les attaques potentielles CVE-2023-6553, étant donné qu’il s’agit d’une vulnérabilité critique que des acteurs malveillants non authentifiés peuvent exploiter à distance.
Les administrateurs WordPress sont également ciblés par une campagne de phishing tentant de les inciter à installer des plugins malveillants en utilisant de faux avis de sécurité WordPress pour une vulnérabilité fictive identifiée comme CVE-2023-45124 comme appât.
La semaine dernière, WordPress a également corrigé une vulnérabilité de chaîne de programmation orientée propriété (POP) qui pourrait permettre aux attaquants d’exécuter du code PHP arbitraire dans certaines conditions (lorsqu’il est combiné avec certains plugins dans des installations multisites).