Une vulnérabilité critique découverte dans le plugin WordPress GiveWP a exposé plus de 100 000 sites à des risques d'exécution de code à distance et de suppression arbitraire de fichiers.
Vous utilisez peut-être GiveWP, ce fameux plugin WordPress dédié à la collecte de dons en ligne, que ce soit en tant qu'administrateur ou donateur. Pourtant, ce qui devait être un outil pratique s'est transformé en véritable piège à données.
En effet, une faille de sécurité critique a été découverte récemment dans ce plugin et elle a menacé directement l'intégrité de plus de 100 000 sites et indirectement les données personnelles des donateurs. Un coup dur pour l'hébergeur Web, qui a cependant répondu présent à l'appel au correctif.
Vulnérabilité critique dans GiveWP : quand la collecte de dons devient un outil de piratage
C'est grâce au programme de primes aux chercheurs de failles (Bug Bounty) mis en place par Wordfence, la référence en matière de sécurité chez WordPress, que la faille a été découverte. Un chercheur nommé villu164 a en effet identifié une vulnérabilité d'injection d'objet PHP dans le plugin GiveWP, permettant à des pirates d'exécuter du code à distance et de supprimer des fichiers arbitraires sur les serveurs.
Mais comment fonctionne exactement cette faille ? Eh bien, le plugin GiveWP utilise la sérialisation de données PHP pour stocker certaines informations. Or, le processus de validation de ces données n'était pas suffisamment robuste, laissant la possibilité aux pirates d'injecter un objet PHP malveillant. Et grâce à la présence d'une chaîne d'exploitations dite « Property Oriented Programming » (POP), les attaquants peuvent alors exécuter du code arbitraire sur le serveur ou même supprimer des fichiers essentiels, menaçant ainsi l'intégrité des sites.
Ce ne sont pas moins de 100 000 sites WordPress touchés, avec un risque élevé de prise de contrôle totale par des pirates. Une faille de sécurité qui n'est pas sans rappeler celle qui a touché, avec les mêmes effets, le plugin LayerSlider en avril 2024.
Mais que font donc les cybercriminels de cette prise de contrôle ? Ce qu'ils en veulent, puisqu'ils n'ont plus qu'à se servir parmi les données des utilisateurs : informations personnelles, coordonnées bancaires, voire dons recueillis sur le site, soit autant d'éléments sensibles nécessaires au phishing, l'usurpation d'identité, ou encore une demande de rançon. Côté administrateur, en supprimant des fichiers essentiels du site, ils peuvent les rendre inaccessibles, et empêcher l'exploitation de la collecte de dons.
Divulgation et correction de la faille : une course contre la montre
Selon la procédure, une fois la vulnérabilité identifiée, le chercheur villu164 l'a signalée à l'équipe de Wordfence qui a validé et reproduit l'exploit, avant de contacter les développeurs du plugin. Las d'attendre une réponse, elle a donc grimpé d'un étage et est allée frapper directement à la porte de Wordpress.org pour accélérer la mise en place d'un correctif et sa publication.
C'est finalement le 7 août 2024 que la version 3.14.2 de GiveWP, corrigeant entièrement la vulnérabilité, a été rendue disponible.
Wordfence recommande chaudement aux administrateurs de sites WordPress qui utilisent GiveWP d'installer la mise à jour de la version 3.14.2 pour préserver l'intégrité de leurs sites, et la sécurité des données de leurs utilisateurs.
Comme Clubic le rappelle régulièrement, maintenir un OS, des logiciels ou des applications est l'une des priorités à donner pour se protéger des cybercriminels.
- moodVersion d'essai disponible
- settingsHébergé / pré-installé
- storage1 Go à 200 Go de stockage
- extensionPlugins disponibles
- format_paintThemes disponibles
- shopping_bagAdapté aux sites e-commerce
Source : Security Week