Deux vulnérabilités affectant le plugin WordPress POST SMTP Mailer, un outil de livraison d’e-mails utilisé par 300 000 sites Web, pourraient aider les attaquants à prendre le contrôle total de l’authentification d’un site.
Le mois dernier, Ulysses Saicha et Sean Murphy, chercheurs en sécurité de Wordfence, ont découvert deux vulnérabilités dans le plugin et les ont signalées au fournisseur.
Le premier, suivi comme CVE-2023-6875, est une faille critique de contournement d’autorisation résultant d’un problème de “jonglage de type” sur le point de terminaison REST connect-app. Le problème affecte toutes les versions du plugin jusqu’à 2.8.7
Un attaquant non authentifié pourrait l’exploiter pour réinitialiser la clé API et afficher des informations de journal sensibles, y compris des e-mails de réinitialisation de mot de passe.
Plus précisément, l’attaquant peut exploiter une fonction relative à l’application mobile pour définir un jeton valide avec une valeur nulle pour la clé d’authentification via une requête.
Ensuite, l’attaquant déclenche une réinitialisation du mot de passe pour l’administrateur du site, puis accède à la clé depuis l’application, la modifie et verrouille l’utilisateur légitime hors du compte.
Avec des privilèges d’administrateur, l’attaquant dispose d’un accès complet et peut planter des portes dérobées, modifier des plugins et des thèmes, éditer et publier du contenu, ou rediriger les utilisateurs vers des destinations malveillantes.
La deuxième vulnérabilité est un problème de script intersite (XSS) identifié comme CVE-2023-7027 qui résulte d’une désinfection insuffisante des entrées et de l’échappement des sorties.
La faille affecte POST SMPT jusqu’à la version 2.8.7 et pourrait permettre aux attaquants d’injecter des scripts arbitraires dans les pages Web du site affecté.
Wordfence a d’abord contacté le fournisseur au sujet de la faille critique le 8 décembre 2023, et après avoir soumis le rapport, ils ont suivi avec un exploit de preuve de concept (PoC) le 15 décembre.
Le problème XSS a été signalé le 19 décembre 2023 et un PoC a été partagé le lendemain.
Le fournisseur du plugin a publié le 1er janvier 2024 la version 2.8.8 de POST SMPT qui inclut des correctifs de sécurité pour les deux problèmes.
Basé sur des statistiques de wordpress.org, il y a environ 150 000 sites qui exécutent une version vulnérable du plugin inférieure à 2.8. Sur la moitié restante sur laquelle la version 2.8 et supérieure est installée, des milliers sont probablement également vulnérables si l’on considère que la plate-forme rapporte environ 100 000 téléchargements depuis la sortie du correctif.