25 Jan 2023
Olivier
Des failles de sécurité dans trois plugins WordPress ont exposé des milliers de sites web à des menaces de cybersécurité.
Trois plugins WordPress populaires auprès des sites de e-commerce se sont révélés vulnérables à des attaques par injection de code SQL.
Un chercheur en cybersécurité Tenable a trouvé trois plugins avec des vulnérabilités d’injection SQL et les a signalés à WordPress le 19 décembre 2022.
WordPress a reconnu les rapports sur les vulnérabilités le 20 décembre 2022 et a alerté les développeurs de l’incident.
Les développeurs ont publié des correctifs entre le 21 décembre 2022 et le 5 janvier 2023 et ont exhorté tous leurs utilisateurs à mettre à jour les plugins dès que possible.
Les logiciels ont tous eu droit à des mises à jour en Décembre 2022. Ils ne devraient donc plus poser de problèmes pour la sécurité de votre site WordPress.
L’entreprise de cybersécurité Tenable a découvert que trois plugins étaient ouverts aux attaques par injection SQL.
Les extensions Paid Memberships Pro, Easy Digital Downloads et Survey Marker comptent un total combiné de plus de 150 000 installations actives.
La vulnérabilité d’injection SQL peut permettre aux attaquants de modifier ou de supprimer complètement les sites Web.
Tenable a publié ses observations et une démonstration des vulnérabilités le 19 décembre 2022. Les développeurs des extensions concernées ont rapidement corrigé les vulnérabilités.
Face à la menace que représentent les pirates informatiques, le web s’est doté d’outils pour classifier et répertorier l’ensemble des problèmes de sécurité.
Un système a été mis en place qui permet d’identifier les menaces et de mesurer leurs degrés de dangerosité respectifs.
Pour vous aider à comprendre le rapport sur les trois extensions WordPress défaillantes, voici une brève présentation de ce système.
Chaque faille détectée dans un logiciel, un thème ou un plugin se voit attribuée une note allant de 0 à 10.
Ce score est une estimation du niveau de risque que la brèche en question représente pour la sécurité de votre site.
Ces notes sont basées sur le système de calcul CVSSv3, Common Vulnerability Scoring System. Plus une menace est critique, plus le système lui attribue un score élevé.
Une note supérieure à 9 signifie qu’une menace est critique pour la sécurité d’un site web. Un score de 7 à 9 représente un risque élevé.
Dans les deux cas, il vaut mieux cesser d’utiliser cet élément sur un site web jusqu’à ce qu’une mise à jour soit disponible.
Tous les problèmes de sécurité identifiés se voient aussi attribuer un identifiant CVE, associé au répertoire public des Common Vulnerabilities and Exposures.
Il s’agit d’une immense bibliothèque numérique tenue par la fondation MITRE avec le soutien du département de la Sécurité intérieure des États-Unis.
À chaque fois qu’un nouveau problème est détecté, il est ajouté à ce répertoire pour aviser les internautes de la menace qu’il représente.
Le logiciel ou le plugin problématique se retrouve alors en quelque sorte sur une liste noire. Les développeurs doivent alors le mettre à jour pour régler la brèche, et en aviser le répertoire.
Vous pouvez ainsi savoir si un problème a été adressé par une mise à jour ou s’il représente toujours une menace.
Maintenant que nous avons vu quelques notions à propos des problèmes de sécurité web, nous pouvons passer au brèches détectées par Tenable.
Nous vous présentons les trois problèmes selon leurs degrés de dangerosité en nous basant sur leurs score CVSSv3.
Vous verrez qu’il s’agit de trois problèmes assez similaires qui exposaient des milliers de sites web à des attaques par injection SQL.
La première faille a été trouvée dans le plugin de souscription Paid Memberships Pro. Il s’agit d’une brèche de sécurité face à des tentatives d’injection SQL sans authentification.
Elle s’est vu attribuer l’identifiant CVE-2023-23488 et a un impressionnant score CVSSv3 de 9,8 sur 10. Elle représente donc un enjeu important pour la sécurité des sites web.
Le problème vient du fait qu’avant d’utiliser la route /pmpro/v1/order REST dans une instruction SQL, le plugin ne pouvait échapper au paramètre ‘code’.
Cela rendait Paid Memberships Pro vulnérable à une injection d’éléments de code SQL. Le contenu d’un site web pouvait donc facilement être modifier par des pirates.
La vulnérabilité détectée affecte les versions de l’extension antérieures à la version 2.9.8. Les développeurs ont toutefois corrigé la brèche dans la version 2.9.8 du plugin.
Le second problème a été détectée dans le plugin e-commerce pour la vente de produits numériques Easy Digital Downloads.
Tout comme la première, cette brèche de sécurité a également un score CVSSv3 de 9,8. Son code d’identification officiel est le CVE-2023-23489.
Dans ce cas, le plugin s’est montré incapable d’échapper pas au paramètre ‘s‘ d’une action ‘edd_download_search’ avant de l’utiliser dans une instruction SQL.
Cette fâcheuse particularité entraîne une vulnérabilité vis-à-vis des attaques par injection SQL. Des pirates peuvent alors modifier le contenu des sites web.
La partie du code identifiée comme vulnérable correspond à la fonction edd_ajax_download_search() du fichier ./includes/ajax-functions.php.
La brèche de sécurité affecte les versions 3.1.0.2. et 3.1.0.3. Les développeurs du plugin ont inclus une importante mise à jour de sécurité dans la version 3.1.0.4.
La troisième faille de sécurité est liée à un plugin de sondages et de formulaires de contact nommé Survey Maker.
Elle a un score CVSSv3 de 8,8, ce qui en faite une menace très élevée. Son code d’identification est le CVE-2023-23490.
Cette brèche est très similaire aux précédentes. Le plugin lit le paramètre surveys_ids dans l’action ays_surveys_export_json avant de l’utiliser dans une instruction SQL.
La brèche de sécurité exige que l’attaquant soit authentifié. Elle entraîne malgré tout une vulnérabilité contre les attaques par injection SQL.
Elle ne nécessite aucun privilège d’administrateur pour être exploitée. Les pirates peuvent donc utiliser un compte avec le niveau de privilège abonné pour mener leurs attaques.
La vulnérabilité affecte les versions 3.1.2 et antérieures et a été adressé dans une récente mise à jour du plugin.
Des problèmes de sécurité sont régulièrement découverts dans certaines extensions WordPress ou dans le CMS lui-même.
Les brèches découvertes en décembre 2022 par l’entreprise Tenable étaient toutefois particulièrement critiques. Elles représentaient des menaces majeures pour la sécurité de milliers de sites web.
Ces plus récents problèmes rappelle à quel point la piètre sécurité de WordPress représentera toujours l’une des faiblesses de ce CMS open source.
Nous espérons que la lecture de cet article vous a plu et vous a éclairer sur ces récentes failles de sécurité détectées dans 3 plugins WordPress.
Si c’est le cas, nous vous invitons à jeter un coup d’œil à nos nombreux autres articles et à nos comparatifs.
Vous y trouverez toutes les dernières actualités sur l’industrie de l’hébergement web et la création de sites web.