Une faille a été découverte dans un thème populaire de WordPress. Elle est déjà utilisée depuis plusieurs semaines par des pirates, pour la création de deux types de backdoors, d'après les dires de Luke Leal de la société de cybersécurité Sucuri, filiale de GoDaddy.
Les pirates utiliseraient donc une faille du thème OneTone pour insérer du code malveillant dans ses paramètres. Et comme le thème reprend les paramètres à chaque chargement de page, le code malveillant est déclenché sur toute page affichée.
Magee WP, éditeur du thème OneTone reste silencieux
La vulnérabilité XSS, permettant d'injecter du code dans une page d'un site Wordpress, a été découverte en septembre 2019 par Jérôme Bruandet de NinTechNet qui l'a immédiatement signalé à l'auteur du thème ainsi qu'à l'équipe WordPress.
Devant l'absence de correctif appliqué par son développeur, MageeWP - dont le site Internet n'a pas évolué depuis 2019 d'ailleurs -, WordPress a supprimé, dès octobre 2019, la version gratuite téléchargeable du thème sur son propre site.
Selon Luke Leal, de la société Sucuri, les pirates utilisent la faille pour détourner le trafic et créer des backdoors - ou portes dérobées - sur les sites WordPress infectés. Toutefois, le mécanisme de backdoor n'est actif que lorsqu'un administrateur est connecté au site, le code malveillant pouvant détecter la présence de la barre d'outils d'administration, située en haut de la page affichée.
Sucuri et ZDNet ont tenté d'entrer en contact avec la société éditrice du thème, MageeWP, mais en vain.
Sucuri estimait il y a deux semaines que 20 000 sites utilisaient ce thème. Depuis le nombre serait tombé à 16 000, les administrateurs des sites concernés commençant à migrer vers d'autres thèmes plus sûrs.
Source : ZDNet
