800K sites WordPress toujours impactés par une faille critique du plugin SEO

800K WordPress sites still impacted by critical SEO plugin flaw

Deux vulnérabilités de sécurité critiques et de gravité élevée dans le très populaire plugin WordPress SEO « Tout en un » ont exposé plus de 3 millions de sites Web à des attaques de prise de contrôle.

Les failles de sécurité découvertes et signalées par Marc Montpas, chercheur en sécurité chez Automattic, sont un bug critique d’escalade de privilèges authentifiés (CVE-2021-25036) et une injection SQL authentifiée de haute gravité (CVE-2021-25037).

Plus de 800 000 sites WordPress vulnérables

Le développeur du plugin a publié une mise à jour de sécurité pour résoudre à la fois Tout en un bugs le 7 décembre 2021.

Cependant, plus de 820 000 sites utilisant le plugin n’ont pas encore mis à jour leur installation, selon télécharger les statistiques au cours des deux dernières semaines depuis la sortie du correctif, et sont toujours exposés à des attaques.

Ce qui rend ces failles très dangereuses, c’est que, même si l’exploitation réussie des deux vulnérabilités nécessite l’authentification des acteurs de la menace, ils n’ont besoin que d’autorisations de bas niveau telles que l’abonné pour en abuser lors d’attaques.

Abonné est un rôle d’utilisateur WordPress par défaut (tout comme Contributeur, Auteur, Éditeur et Administrateur), généralement activé pour permettre aux utilisateurs enregistrés de commenter les articles publiés sur les sites WordPress.

Bien que les abonnés ne puissent généralement modifier que leur propre profil en plus de publier des commentaires, dans ce cas, ils peuvent exploiter CVE-2021-25036 pour élever leurs privilèges et obtenir l’exécution de code à distance sur des sites vulnérables et, probablement, les prendre complètement en charge.

Date Téléchargements
2021-12-07 336738
2021-12-08 1403672
2021-12-09 68941
2021-12-10 45392
2021-12-11 31346
2021-12-12 26677
2021-12-13 35666
2021-12-14 34938
2021-12-15 72301
2021-12-16 28672
2021-12-17 24699
2021-12-18 18774
2021-12-19 17972
2021-12-20 25388
Le total 2171176

Les administrateurs WordPress invités à mettre à jour dès que possible

Comme Montpas l’a révélé, l’augmentation des privilèges en abusant de CVE-2021-25036 est une tâche facile sur les sites exécutant une version SEO All in One non corrigée en « changeant un seul caractère en majuscule » pour contourner toutes les vérifications de privilèges mises en œuvre.

« C’est particulièrement inquiétant car certains des points de terminaison du plugin sont assez sensibles. Par exemple, le point de terminaison aioseo/v1/htaccess peut réécrire le .htaccess d’un site avec un contenu arbitraire », a expliqué Montpas.

« Un attaquant pourrait abuser de cette fonctionnalité pour masquer les portes dérobées .htaccess et exécuter du code malveillant sur le serveur. »

Il est conseillé aux administrateurs WordPress utilisant encore les versions All In One SEO affectées par ces graves vulnérabilités (entre 4.0.0 et 4.1.5.2) qui n’ont pas encore installé le correctif 4.1.5.3 de le faire immédiatement.

« Nous vous recommandons de vérifier quelle version du plugin All In One SEO votre site utilise, et si elle se trouve dans la plage affectée, mettez-la à jour dès que possible. » le chercheur a prévenu il y a une semaine.