Le bug WP Reset PRO permet aux pirates d’effacer les sites WordPress

Ironic twist: WP Reset PRO bug lets hackers wipe WordPress sites

Une faille de sécurité de haute gravité dans le plugin WordPress WP Reset PRO peut permettre à des attaquants authentifiés d’effacer des sites Web vulnérables, comme l’ont révélé les chercheurs en sécurité de Patchstack.

Il n’affecte que les versions premium du Plugin de réinitialisation WP, jusqu’à et y compris la version 5.98. Ce plugin est conçu pour aider les administrateurs à réinitialiser l’intégralité de leur site ou des parties sélectionnées pour accélérer le débogage et les tests, ainsi qu’à restaurer à partir d’instantanés intégrés en un seul clic de souris.

La version gratuite et open source de WP Reset est répertoriée dans le référentiel de plugins WordPress comme ayant plus de 300 000 installations actives. Le développeur affirme sur le site officiel que le nombre d’utilisateurs a dépassé les 400 000.

Dave Jong, directeur technique de Patchstack expliqué que la vulnérabilité de réinitialisation de la base de données authentifiée (suivie comme CVE-2021-36909) est causée par un manque d’autorisation et de vérification de jeton nonce et peut être exploitée par tout utilisateur authentifié, y compris les utilisateurs peu privilégiés tels que les abonnés.

L’exploitation ne nécessite que de passer un paramètre de requête comme « %%wp » pour supprimer toutes les tables de la base de données avec le préfixe wp. L’attaquant peut alors visiter la page d’accueil du site Web pour suivre le processus d’installation de WordPress et créer son propre compte administrateur.

« Cela effacerait le site et montrerait clairement que quelque chose s’est passé, c’est pourquoi il ne peut pas être exploité si un pirate informatique a l’intention de cacher une porte dérobée ou d’injecter des publicités sur le site », a déclaré Jong à EZpublish-france.fr.

Le plugin enregistre quelques actions dans la portée admin_action_*. Dans le cas de cette vulnérabilité, il s’agit de admin_action_wpr_delete_snapshot_tables. Malheureusement, la portée admin_action_* n’effectue pas de vérification pour déterminer si l’utilisateur est autorisé à effectuer ladite action, ni ne valide ni ne vérifie un jeton nonce pour empêcher les attaques CSRF. -Dave Jong

Problème critique pour les sites permettant l’inscription ouverte des utilisateurs

Abonné est un rôle d’utilisateur WordPress par défaut (tout comme Contributeur, Auteur, Éditeur et Administrateur), souvent activé pour permettre aux utilisateurs enregistrés d’écrire des commentaires sur la section des commentaires des sites WordPress. Ils ne peuvent généralement modifier leur propre profil qu’à l’aide du tableau de bord du site sans accès aux autres pages d’administration.

Le PDG de Patchstack, Oliver Sild, a déclaré à EZpublish-france.fr que le bug était « assez critique, en particulier pour le commerce électronique et les autres sites dont l’enregistrement est ouvert ».

Alors qu’à première vue, ce bug semble n’être utile qu’à des fins destructrices, Sild a déclaré à EZpublish-france.fr qu’il pourrait également être exploité pour accéder à d’autres sites sur le même serveur.

« S’il y a un ancien site oublié dans un sous-répertoire (nous le voyons souvent) sur lequel ce plugin est installé et que l’environnement du serveur est connecté, cela permettrait d’accéder à d’autres sites dans le même environnement », a déclaré Sild. « C’est une vulnérabilité assez destructrice dans sa nature. »

L’équipe de développement a corrigé le bug avec la sortie de WP Reset PRO 5.99 le 28 septembre, dans les 24 heures suivant la divulgation de Patchstack, en ajoutant une vérification d’authentification et d’autorisation.