Martin DebrunneWordPress est au cœur de l’actualité depuis la découverte d’une faille, vieille de six ans, dans son système. Baptisée Path Traversal, elle permet une exécution de code arbitraire à distance sur un site WordPress. Ce sont les chercheurs en sécurité de l’entreprise RIPS Technologies GmbH qui ont mis au jour cette « vieille » faille de sécurité, rapporte The Hacker News.
Une faille liée aux entrées Post Meta
Depuis six ans et sous toutes les versions de WordPress, il suffit d’un compte disposant de droits d’auteur pour pouvoir exploiter la faille. Le problème résulte principalement du fonctionnement du système de gestion d’images WordPress. Quand une image est enregistrée, une copie est créée sous forme d’entrée Post Meta, incluant des informations telles que la description, la taille ou le créateur du fichier.
Problème : lors d’une mise à jour, ces entrées Post Meta sauvegardées sur la base de données WordPress sont modifiables. On peut alors leur donner n’importe quelle valeur arbitraire et WordPress n’effectue aucune vérification. Ainsi, il est possible de conduire WordPress à télécharger un fichier malicieux distant en modifiant simplement ces entrées Post Meta, explique Programmez.com.
La faille n’a pas encore été corrigée
Grâce à cette faille critique, des pirates peuvent exécuter du code php et prendre totalement le contrôle d’un site WordPress jusqu’à la version 5.0.3. Si une amélioration apportée sur les versions 4.9.9 et 5.0.1 corrige en grande partie le problème, la faille n’a jamais été entièrement corrigée.
WordPress et RIPS élaborent actuellement un patch. Heureusement, le fait qu’il faille disposer d’un compte « auteur » pour exploiter la faille limite les risques. Mais certaines entreprises ouvrent de nombreux comptes « auteurs » pour les salariés sans les clôturer au départ de l’employé. Les hackers peuvent aussi se procurer illégalement des identifiants afin de profiter de cette faille.
