Le thème RealHome et les plugins Easy Real Estate pour WordPress sont vulnérables à deux failles de gravité critique qui permettent aux utilisateurs non authentifiés d’obtenir des privilèges administratifs.
Bien que les deux failles aient été découvertes en septembre 2024 par Patchstack et que de multiples tentatives aient été faites pour contacter le fournisseur (InspiryThemes), les chercheurs disent n’avoir reçu aucune réponse.
De plus, Patchstack indique que le fournisseur a publié trois versions depuis septembre, mais aucun correctif de sécurité pour résoudre les problèmes critiques n’a été introduit. Par conséquent, les problèmes restent non résolus et exploitables.
Détails de la vulnérabilité
Le thème RealHome et Easy Real Estate sont parmi les thèmes et plugins les plus populaires conçus pour être utilisés sur les sites Web immobiliers. Selon les données du marché Envanto, le thème RealHome est utilisé sur 32 600 sites Web.
La première faille, qui affecte le thème RealHome, est un problème d’escalade de privilèges non authentifié suivi comme CVE-2024-32444 (score CVSS: 9,8).
Le thème permet aux utilisateurs d’enregistrer de nouveaux comptes via la fonction inspiry_ajax_register, cependant, il ne vérifie pas correctement l’autorisation ou n’implémente pas de validation nonce.
Si l’enregistrement est activé sur le site Web, les attaquants peuvent spécifier arbitrairement leur rôle en tant qu ‘ »administrateur » dans une requête HTTP spécialement conçue pour la fonction d’enregistrement, contournant essentiellement les contrôles de sécurité.
Une fois enregistré en tant qu’administrateur, l’attaquant peut par la suite prendre le contrôle total du site WordPress, y compris en effectuant des manipulations de contenu, en plantant des scripts et en accédant à l’utilisateur ou à d’autres données sensibles.
La faille affectant le plugin Easy Real Estate est un autre problème d’escalade de privilèges non authentifié via la connexion sociale. Il est suivi sous CVE-2024-32555 (score CVSS: 9,8).
Le problème provient de la fonctionnalité de connexion sociale, qui permet aux utilisateurs de se connecter en utilisant leur adresse e-mail sans vérifier si elle appartient à la personne qui fait la demande.
Par conséquent, si un attaquant connaît l’adresse e-mail d’un administrateur, il peut se connecter sans avoir besoin d’un mot de passe. Les répercussions d’une exploitation réussie sont similaires à celles de CVE-2024-32444.
Recommandations d’atténuation
Comme aucun correctif n’a encore été publié par InspiryThemes, les propriétaires de sites Web et les administrateurs utilisant ledit thème ou plugin doivent les désactiver immédiatement.
Restreindre l’inscription des utilisateurs sur les sites Web concernés empêcherait également la création de comptes non autorisés, limitant ainsi le potentiel d’exploitation.
Comme les problèmes sur les deux modules complémentaires sont désormais publics, les auteurs de menaces sont tenus d’explorer leur potentiel et de rechercher des sites Web vulnérables, il est donc crucial de réagir rapidement pour atténuer la menace à ce stade.