Les chercheurs de Wordfence ont découvert plusieurs vulnérabilités dans le page builder Brizy.
Utilisées ensemble, elles pourraient permettre à un acteur malveillant de prendre le contrôle complet d'un site WordPress.
Une vulnérabilité qui en active deux autres
Le page builder Brizy est un plugin qui gagne en popularité sur WordPress. Il permet de créer un site web sans aucune compétence technique, sur un système de « drag and drop » d'éléments pour composer une page. Cependant, les chercheurs de Wordfence ont découvert qu'il possédait plusieurs vulnérabilités qui, mises bout à bout, pouvaient permettre à un attaquant de prendre le contrôle total d'un site web où le plugin est installé.
La première vulnérabilité est issue d'un mauvais contrôle des autorisations. Brizy utilise plusieurs fonctions pour valider si un utilisateur est administrateur. Mais à cause d'une erreur dans la logique du code, n'importe quel utilisateur connecté passait la vérification et pouvait modifier des articles et des pages créés avec l'éditeur de Brizy. Une vulnérabilité d'autant plus dangereuse qu'elle en active deux autres.
À cause de la vulnérabilité précédente, n'importe quelle personne connectée pouvait ajouter du JavaScript au contenu d'une page. L'attaquant pouvait donc prendre le contrôle du site et réaliser les actions de son choix comme ajouter un nouvel administrateur ou donner des droits supplémentaires à des utilisateurs afin de garder un accès persistant.
Des vulnérabilités corrigées
Toujours en la liant à la première, la troisième vulnérabilité permettait à n'importe quel utilisateur connecté d'uploader un fichier exécutable à l'emplacement de son choix à l'aide de plusieurs paramètres d'une action AJAX et d'un manque de vérifications au niveau du nom du fichier fourni et de son contenu. De cette manière, l'attaquant pouvait obtenir une exécution de code à distance sur un site web.
Wordfence a prévenu les créateurs du plugin le 19 août de la présence des vulnérabilités. L'équipe en charge de Brizy a réagi rapidement, sortant un patch corrigeant les problèmes dès le 25 août. Si vous utilisez Brizy, il est important de vérifier que vous possédez bien la dernière version du plugin, la 2.3.17.
Sources : ThreatPost, Wordfence