Le plugin WordPress Premium Fancy Product Designer de Radykal est vulnérable à deux failles de gravité critique qui ne sont pas corrigées dans la dernière version actuelle.
Avec plus de 20 000 ventes, le plugin permet de personnaliser les conceptions de produits (vêtements, tasses, étuis de téléphone, par exemple) sur les sites WooCommerce en changeant les couleurs, en transformant le texte ou en modifiant la taille.
En examinant le plugin, Rafie Muhammad de Patchstack a découvert le 17 mars 2024 que le plugin était vulnérable aux deux failles critiques suivantes:
- CVE-2024-51919 (score CVSS: 9,0): Vulnérabilité de téléchargement de fichiers arbitraires non authentifiés causée par une implémentation non sécurisée des fonctions de téléchargement de fichiers ‘save_remote_file ‘ et ‘fpd_admin_copy_file’, qui ne valident pas ou ne restreignent pas correctement les types de fichiers. Les attaquants peuvent exploiter cela en fournissant une URL distante pour télécharger des fichiers malveillants, réalisant ainsi l’exécution de code à distance (RCE).
- CVE-2024-51818 (score CVSS: 9,3): Faille d’injection SQL non authentifiée causée par une désinfection incorrecte des entrées utilisateur en raison de l’utilisation insuffisante de ‘strip_tags. »Les entrées fournies par l’utilisateur sont directement intégrées dans les requêtes de base de données sans validation appropriée, ce qui peut entraîner une compromission de la base de données, la récupération, la modification et la suppression des données.
Bien que Patchstack ait informé le fournisseur des problèmes un jour après les avoir découverts, Radykal n’a jamais répondu.
Le 6 janvier, Patchstack a ajouté les failles à sa base de données et a publié aujourd’hui un article de blog pour avertir les utilisateurs et les sensibiliser aux risques.
Même après la publication de 20 nouvelles versions, la dernière étant la 6.4.3, publiée il y a 2 mois, les deux problèmes de sécurité critiques restent non corrigés, dit Muhammad.
L’écriture de Patchstack fournit suffisamment d’informations techniques aux attaquants pour créer des exploits et commencer à cibler les boutiques en Ligne qui utilisent le plugin de concepteur de produits fantaisie de Radykal.
En règle générale, les administrateurs doivent empêcher les téléchargements de fichiers arbitraires en créant une liste autorisée avec des extensions de fichiers sûres. De plus, Patchstack recommande de se protéger contre l’injection SQL en assainissant l’entrée de l’utilisateur pour une requête en effectuant un échappement et un formatage sécurisés.
Breachtrace a contacté Radycal pour lui demander s’ils prévoyaient de publier prochainement une mise à jour de sécurité, mais aucun commentaire n’était immédiatement disponible.