Les chercheurs ont révélé une faille de sécurité affectant trois plugins WordPress différents qui affectent plus de 84 000 sites Web et pourraient être exploités par un attaquant pour prendre le contrôle de sites vulnérables.

« Cette faille permettait à un attaquant de mettre à jour des options de site arbitraires sur un site vulnérable, à condition qu’il puisse inciter un administrateur de site à prendre une action, comme cliquer sur un lien », a déclaré la société WordPress Wordfence security dans un rapport publié la semaine dernière.

Suivi sous le numéro CVE-2022-0215, le défaut de falsification de requête intersite (CSRF) est noté 8,8 sur l’échelle CVSS et affecte trois plugins gérés par Xootix –

La falsification de requête intersite, également connue sous le nom d’attaque en un clic ou de session guidée, se produit lorsqu’un utilisateur final authentifié est amené par un attaquant à envoyer une requête Web spécialement conçue. « Si la victime est un compte administratif, CSRF peut compromettre l’ensemble de l’application Web », note l’OWASP dans sa documentation.

Plus précisément, la vulnérabilité trouve son origine dans un manque de validation lors du traitement des requêtes AJAX, permettant effectivement à un attaquant de mettre à jour l’option « users_can_register » (c’est-à-dire que n’importe qui peut s’inscrire) sur un site sur true et de définir le paramètre « default_role » (c’est-à-dire le rôle par défaut des utilisateurs qui s’inscrivent au blog) à l’administrateur, assurant un contrôle complet.

Popup Login / Registration est installé sur plus de 20 000 sites, tandis que Side Cart Woocommerce et Waitlist Woocommerce ont été installés sur plus de 4 000 et 60 000 sites respectivement.

Suite à la divulgation responsable par les chercheurs de Wordfence en novembre 2021, le problème a été résolu dans la version 2.3 de la fenêtre de connexion / d’inscription, la version 2.1 du panier latéral Woocommerce et la version 2.5.2 de la liste d’attente Woocommerce.

Les résultats surviennent un peu plus d’un mois après que les attaquants ont exploité les faiblesses de quatre plugins et 15 thèmes Epsilon Framework pour cibler 1,6 million de sites WordPress dans le cadre d’une campagne d’attaque à grande échelle provenant de 16 000 adresses IP.

« Bien que cette vulnérabilité Cross-Site Request Forgery (CSRF) soit moins susceptible d’être exploitée en raison du fait qu’elle nécessite une interaction de l’administrateur, elle peut avoir un impact significatif sur un site exploité avec succès et, en tant que telle, agit comme un rappel extrêmement important être conscient lorsque vous cliquez sur des liens ou des pièces jointes et vous assurer de maintenir vos plug-ins et thèmes à jour régulièrement », a déclaré Chloe Chamberland de Wordfence.

Avez-vous trouvé cet article intéressant? Suivez THN sur Facebook, Twitter  et LinkedIn pour lire le contenu le plus exclusif que nous publions.