Une activité malveillante ciblant une faille de gravité critique dans le plugin WordPress « Better Search Replace » a été détectée, les chercheurs observant des milliers de tentatives au cours des dernières 24 heures.

Better Search Replace est un plugin WordPress avec plus d’un million d’installations qui facilite les opérations de recherche et de remplacement dans les bases de données lors du déplacement de sites Web vers de nouveaux domaines ou serveurs.

Les administrateurs peuvent l’utiliser pour rechercher et remplacer du texte spécifique dans la base de données ou gérer des données sérialisées, et il fournit des options de remplacement sélectif, la prise en charge de WordPress Multisite, et inclut également une option “dry run” pour s’assurer que tout fonctionne correctement.

Le fournisseur de plug-ins, WP Engine, a publié la version 1.4.5 la semaine dernière pour résoudre une vulnérabilité d’injection d’objets PHP de gravité critique identifiée comme CVE-2023-6933.

Le problème de sécurité provient de la désérialisation des entrées non fiables et permet aux attaquants non authentifiés d’injecter un objet PHP. Une exploitation réussie pourrait entraîner l’exécution de code, l’accès à des données sensibles, la manipulation ou la suppression de fichiers et le déclenchement d’une condition de déni de service en boucle infinie.

La description de la faille dans le tracker de Wordfence indique que Better Search Replace n’est pas directement vulnérable mais peut être exploité pour exécuter du code, récupérer des données sensibles ou supprimer des fichiers si un autre plugin ou thème sur le même site contient la chaîne de programmation orientée propriétés (POP).

L’exploitabilité des vulnérabilités d’injection d’objets PHP repose souvent sur la présence d’une chaîne POP appropriée qui peut être déclenchée par l’objet injecté pour effectuer des actions malveillantes.

Les pirates ont saisi l’opportunité d’exploiter la vulnérabilité alors que la société de sécurité WordPress Wordfence rapporte qu’elle a bloqué plus de 2 500 attaques ciblant CVE-2023-6933 sur ses clients au cours des dernières 24 heures.

La faille impacte toutes les versions de Better Search Replace jusqu’à la 1.4.4. Il est fortement recommandé aux utilisateurs de passer à la version 1.4.5 dès que possible.

Télécharger les statistiques sur WordPress.org enregistré près d’un demi-million de téléchargements au cours de la semaine écoulée, 81% des versions actives étant 1.4 mais peu claires sur la version mineure.

Mise à jour 1/25-Wordfence a déclaré à Breachtrace qu’ils utilisaient initialement une règle générale pour détecter l’activité décrite ci-dessus, et par conséquent, certaines des tentatives enregistrées concernent d’autres failles, comme CVE-2023-25135. Cependant, la plupart des attaques sont attribuées à des tentatives d’exploitation de CVE-2023-6933.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *