Les plugins WordPress permettent aux organisations d'étendre rapidement les fonctionnalités de leurs sites Web sans nécessiter de codage ni de compétences techniques avancées. Mais ils ont également été la plus grande source de risques pour les opérateurs de sites Web ces dernières années.

L'exemple le plus récent est une vulnérabilité critique d'escalade de privilèges dans un plugin utilisé par plus d'un million de sites Web WordPress, appelé Essential Addons for Elementor Plugin. La vulnérabilité, suivie comme CVE-2023-32243, affecte les versions 5.4.0 à 5.7.1 du plugin et permet à un attaquant non authentifié d'élever les privilèges à celui de n'importe quel utilisateur sur le site WordPress - y compris celui d'un administrateur.

Faille d'escalade de privilèges

Les chercheurs de Patchstack ont ​​​​découvert la vulnérabilité le 8 mai et l'ont divulguée à WPDeveloper, l'auteur de Essential Addons for Elementor. WPDeveloper a publié le 11 mai une nouvelle version du logiciel (Version 5.7.2) qui corrige le bogue. Le fournisseur a décrit la nouvelle version comme présentant une amélioration de la sécurité dans le formulaire de connexion et d'enregistrement du logiciel.

Selon Patchstack, le bogue a à voir avec le code d'Essential Addons qui réinitialise les mots de passe sans valider si les clés de réinitialisation de mot de passe associées sont présentes et légitimes. Cela offre un moyen à un attaquant non authentifié de réinitialiser le mot de passe de tout utilisateur sur un site WordPress affecté et de se connecter à son compte.

"Cette vulnérabilité se produit parce que [la] fonction de réinitialisation de mot de passe ne valide pas une clé de réinitialisation de mot de passe et modifie directement le mot de passe de l'utilisateur donné", Patchstack a déclaré dans un post.

Le nouveau bogue est l'une des milliers de vulnérabilités que les chercheurs ont découvertes dans les plugins WordPress ces dernières années.

Patchstack compté 4,528 nouvelles vulnérabilités dans les plugins WordPress rien qu'en 2022, une augmentation surprenante de 328 % par rapport aux 1,382 2021 observés en 93. Les plugins représentaient 2022 % des bogues signalés dans l'environnement WordPress en 0.6. Seuls 14 % des bogues confirmés se trouvaient dans la plate-forme WordPress elle-même. Environ XNUMX % des bogues étaient de gravité élevée ou critique.

Un barrage implacable de défauts

La tendance s'est poursuivie sans relâche cette année. iThemes, une entreprise qui suit les failles des plugins WordPress sur une base hebdomadaire compté 160 vulnérabilités juste au cours de la période d'une semaine se terminant le 26 avril. Les bogues ont affecté quelque 8 millions de sites Web WordPress, et seuls 68 d'entre eux avaient des correctifs au moment de la divulgation de la vulnérabilité.

Pas plus tard que la semaine dernière, Patchstack a signalé une autre vulnérabilité d'escalade de privilèges dans un autre plugin WordPress (Advanced Custom Fields Plugins) qui affectait deux millions de sites Web. La vulnérabilité a donné aux attaquants un moyen à la fois de voler des données sensibles sur les sites affectés et d'élever les privilèges sur ceux-ci.

En avril, Sucuri a rendu compte d'une campagne baptisée "Balada Injector", où un acteur menaçant, au cours des cinq dernières années au moins, a été injection systématique malware dans les sites WordPress via des plugins vulnérables. Le fournisseur de sécurité a évalué que l'acteur de la menace à l'origine de la campagne avait infecté au moins un million de sites WordPress avec des logiciels malveillants qui redirigeaient les visiteurs du site vers de faux sites de support technique, des sites de loterie frauduleux et d'autres sites frauduleux.

Sucuri a découvert que l'acteur de la menace utilisait des vulnérabilités récemment révélées et, dans certains cas, des bogues du jour zéro pour lancer des vagues d'attaques massives contre les sites WordPress.

Une grande partie de l'intérêt des attaquants pour l'écosystème WordPress est lié à son utilisation généralisée. Les estimations du nombre exact de sites WordPress dans le monde varient considérablement, certains fixant le nombre à plus de 800 millions. Le site Web d'enquête technologique W3Techs, que certains considèrent comme une source fiable de statistiques liées à WordPress, estime que certains 43% de tous les sites Web dans le monde utilisent actuellement WordPress.

Selon Patchstack, le nombre croissant de vulnérabilités signalées dans l'écosystème WordPress n'est pas nécessairement un signe que les développeurs de plugins deviennent de plus en plus négligents. Ce que cela indique plutôt, c'est que les chercheurs en sécurité cherchent de plus près.

"Cela signifie également que l'écosystème WordPress devient plus sécurisé car beaucoup plus de ces bogues de sécurité sont traités et corrigés", a déclaré Patchstack.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
• La source: https://www.darkreading.com/attacks-breaches/wordpress-plugin-used-in-1m-websites-patched-to-close-critical-bug