[ALERTE CERT] – Vulnérabilité WordPress non corrigée

Olivier Chatail Alerte CERT

Une nouvelle vulnérabilité a été publiée le 26 Juin 2018 par les équipes de RIPS sur le CMS WordPress (composant principal WordPress Core).

Elle affecte toutes les versions de WordPress (jusqu’à 4.9.6 stable à ce jour) et aucun correctif officiel n’est disponible à ce jour.

Les équipes de RIPS ont publié un correctif temporaire dans leur article d’origine.

 

La sévérité associée à cette publication a été estimée à Majeure par les équipes du CERT Devoteam (pondérée par l’absence de correctif officiel).

 

Cette vulnérabilité est exploitable à partir d’un compte utilisateur de niveau minimal auteur (pour les droits de modification et de suppression de fichiers multimédia).

Elle permet à un attaquant de supprimer des fichiers arbitraires sur le serveur (accessible par l’utilisateur PHP).

Le risque de déni de service via la suppression de l’installation WordPress est important, mais il existe d’autres risques également :

  • Désactivation de fonctionnalités de sécurité définies dans des fichiers (.htaccess, index.php..)
  • Détournement du site via sa réinstallation (wp-config.php, présenté dans la video de démonstration )

 

La portion de code vulnérable est présente dans wp-includes/post.php et présente un défaut de filtrage des entrées utilisateur, les détails techniques peuvent être récupérés dans l’article d’origine.

D’après les équipes de RIPS, cette vulnérabilité a été remontée aux équipes de WordPress le 20 Novembre 2017 et n’a toujours pas été traitée 7 mois après sa communication.

 

Le CERT Devoteam recommande, en l’absence de correctif, une revue des droits associés à chaque profil, la surveillance des journaux d’évènements et l’augmentation de la fréquence des backups.