Le 5 mars 2021, l’équipe de Wordfence Threat Intelligence a clôturé une enquête qui a conduit à la découverte d’une vulnérabilité d’escalade de privilèges ainsi que de plusieurs vulnérabilités supplémentaires dans Localisateur de magasin Plus, un plugin WordPress installé sur plus de 9 000 sites.

Nous avons d’abord contacté le développeur du plugin le 5 mars 2021. Nous n’avons reçu aucune réponse pendant une semaine avant de tenter de reprendre contact. Après avoir reçu aucune réponse pendant 20 jours et après deux tentatives de contact, nous avons transmis le problème à l’équipe des plugins WordPress le 25 mars 2021, en fournissant tous les détails de la vulnérabilité au moment du rapport.

L’équipe WordPress Plugins nous a répondu le même jour en nous informant qu’elle informerait le développeur du plugin de nos découvertes. Le développeur a publié un correctif le 5 avril 2021, mais le correctif était insuffisant, conduisant à la fermeture du plugin le 12 avril 2021.

Wordfence Premium les utilisateurs ont reçu des règles de pare-feu protégeant contre ces vulnérabilités le 5 mars 2021, tandis que ceux qui utilisent encore la version gratuite de Wordfence ont reçu la même protection le 4 avril 2021. Quoi qu’il en soit, nous vous recommandons fortement de désactiver et de supprimer ce plugin immédiatement et de trouver un remplacement. Nous ne savons pas à ce stade si le plugin sera patché.

La description: Escalade des privilèges authentifiés
Plugin concerné: Localisateur de magasin Plus
Plugin Slug: store-locator-le
Versions concernées:
ID CVE: En attente.
Score CVSS: 9,9 (critique)
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H
Version entièrement corrigée: Partiellement patché dans la version 5.5.15.

Store Locator Plus est un plugin conçu pour ajouter un localisateur de magasin à un site WordPress et le rend très simple à faire. Malheureusement, il y avait des fonctionnalités dans le plugin qui permettaient aux utilisateurs authentifiés de mettre à jour leurs métadonnées utilisateur pour devenir un administrateur sur n’importe quel site utilisant le plugin. Cela pourrait permettre aux attaquants d’obtenir un accès administratif à un site et de le prendre complètement en charge.

Cette vulnérabilité a été partiellement corrigée dans la version 5.5.15. Cependant, notre analyse indique qu’elle n’est pas suffisante et qu’elle doit donc être traitée comme une vulnérabilité non corrigée.

La description: Scripts intersites stockés non authentifiés
Plugin concerné: Localisateur de magasin Plus
Plugin Slug: store-locator-le
Versions affectées:
ID CVE: En attente.
Score CVSS: 7,2 (élevé)
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N
Version entièrement corrigée: ACTUELLEMENT INÉGALÉ.

En plus de la vulnérabilité d’escalade de privilèges, nous avons trouvé plusieurs points de terminaison dans le plugin qui pourraient permettre aux attaquants non authentifiés d’injecter du JavaScript malveillant dans les pages. Ceux-ci pourraient être utilisés par un attaquant pour injecter des portes dérobées ou ajouter de nouveaux comptes d’utilisateurs administratifs, conduisant finalement à une compromission complète du site.

Comment puis-je protéger mon site?

Nous vous recommandons vivement de désactiver et de supprimer le plugin Store Locator Plus et de trouver un remplacement, car ce plugin pourrait ne pas être corrigé dans un avenir prévisible. Si vous devez garder le plugin installé sur votre site jusqu’à ce que vous trouviez un remplacement, et que vous exécutez le pare-feu d’application Web Wordfence, alors vous pouvez être assuré que votre site sera protégé contre tout exploit visant cette vulnérabilité lors de la recherche d’un localisateur de magasin de remplacement solution.

Nous fournissons intentionnellement un minimum de détails sur ces vulnérabilités afin de donner aux utilisateurs suffisamment de temps pour trouver une solution alternative. Nous pouvons fournir des détails supplémentaires plus tard alors que nous continuons à surveiller la situation.


Source link