Failles de sécurité dans le plug-in PHP Everywherequi a été installé par plus de 30 000 instances WordPress, permettent aux pirates d’introduire un code malveillant. Ils pourraient ainsi prendre le contrôle de l’instance WordPress. Les droits d’un utilisateur normal suffisent pour cela, explique l’entreprise de sécurité informatique Wordfence. Le développeur du plug-in comble les lacunes dans une version actualisée.
Sommaire
Plusieurs vulnérabilités
Dans leur rapport de sécurité, les chercheurs énumèrent pas moins de trois failles de sécurité. La première permettait à tous les utilisateurs connectés d’injecter du code arbitraire via un shortcode (CVE-2022-24663, CVSS 9.9, risque critique). Les shortcodes sont des fonctions que WordPress met en œuvre par exemple dans des tableaux, des galeries d’images et autres. Les pirates auraient pu utiliser le shortcode php_everywhere aurait pu faire exécuter n’importe quel PHP et prendre ainsi le contrôle de WordPress : [php_everywhere]<beliebiges PHP>[/php_everywhere].
Pour exploiter la deuxième vulnérabilité, il faut en revanche disposer des droits de contributeur. Cela permettrait aux attaquants de créer un post, d’insérer du code PHP arbitraire dans la PHP Everywhere Metabox et de l’exécuter en ouvrant l’aperçu (CVE-2022-24664, CVSS 9.9, critique). La troisième faille concerne le bloc Gutenberg de PHP Everywhere, que les utilisateurs disposant de droits de contributeur pourraient également abuser (CVE-2022-24665, CVSS 9.9, critique). Gutenberg est le nom de l’éditeur standard de WordPress.
Installer rapidement la mise à jour
Il n’est pas clair si les failles de sécurité ont déjà été exploitées dans la nature pour compromettre des sites WordPress. Wordfence ne mentionne pas dans son avis de sécurité les attaques déjà observées.
Le développeur du plug-in a corrigé les failles de sécurité dans la version 3.0 de PHP Everywhere. Les administrateurs doivent installer la mise à jour immédiatement. Certains utilisateurs du plug-in observent après la mise à jour que le shortcode ne fonctionne plus et qu’ils doivent désormais utiliser le bloc Gutenberg – les personnes concernées devraient toutefois prendre ce travail à leur charge. La solution proposée dans les commentaires sur le plug-in, qui consiste à simplement réinstaller l’ancien plug-in, met massivement en danger le site web et n’est donc pas une option valable. Là où la mise à jour n’est pas possible, Wordfence recommande même la désinstallation complète de PHP Everywhere.
Lire aussi
Page thématique sur WordPress sur heise online