Les chercheurs ont révélé des vulnérabilités dans plusieurs plugins WordPress qui, si elles sont exploitées avec succès, pourraient permettre à un attaquant d’exécuter du code arbitraire et de prendre le contrôle d’un site Web dans certains scénarios.
Les défauts ont été découverts dans Elementor, un plugin de création de site Web utilisé sur plus de sept millions de sites, et WP Super Cache, un outil utilisé pour servir les pages mises en cache d’un site WordPress.
Selon Wordfence, qui a découvert les faiblesses de sécurité dans Elementor, le bogue concerne un ensemble de script intersite stocké (XSS) vulnérabilités (score CVSS: 6,4), qui se produisent lorsqu’un script malveillant est injecté directement dans une application Web vulnérable.
Dans ce cas, en raison d’un manque de validation des balises HTML côté serveur, un mauvais acteur peut exploiter les problèmes pour ajouter du JavaScript exécutable à un article ou une page via une requête spécialement conçue.
« Étant donné que les articles créés par les contributeurs sont généralement examinés par les éditeurs ou les administrateurs avant leur publication, tout JavaScript ajouté à l’un de ces articles sera exécuté dans le navigateur du réviseur », Wordfence mentionné dans une rédaction technique. «Si un administrateur examinait une publication contenant du JavaScript malveillant, sa session authentifiée avec des privilèges de haut niveau pourrait être utilisée pour créer un nouvel administrateur malveillant ou pour ajouter une porte dérobée au site. Une attaque sur cette vulnérabilité pourrait entraîner une prise de contrôle du site.»
Plusieurs éléments HTML tels que Heading, Column, Accordion, Icon Box et Image Box ont été jugés vulnérables à l’attaque XSS stockée, permettant ainsi à tout utilisateur d’accéder à l’éditeur Elementor et d’ajouter un exécutable JavaScript.
Étant donné que les failles tirent parti du fait que les données dynamiques saisies dans un modèle pourraient être exploitées pour inclure des scripts malveillants destinés à lancer des attaques XSS, un tel comportement peut être contrecarré en validant l’entrée et en échappant aux données de sortie afin que les balises HTML passent comme les entrées sont rendues inoffensives.
Par ailleurs, une vulnérabilité d’exécution de code à distance authentifiée (RCE) découvert dans WP Super Cache qui pourrait permettre à un adversaire de télécharger et d’exécuter du code malveillant dans le but de prendre le contrôle du site. Le plugin serait utilisé sur plus de deux millions de sites WordPress.
Suite à une divulgation responsable le 23 février, Elementor a résolu les problèmes de la version 3.1.4 publiée le 8 mars en renforçant «les options autorisées dans l’éditeur pour appliquer de meilleures politiques de sécurité». De même, Automattic, le développeur derrière WP Super Cache, a déclaré avoir abordé le « RCE authentifié dans la page des paramètres » dans la version 1.7.2.
Il est fortement recommandé aux utilisateurs des plugins de mettre à jour les dernières versions pour atténuer le risque associé aux failles.
