Le 18 août 2023, l’équipe Wordfence Threat Intelligence a lancé le processus de divulgation responsable de deux vulnérabilités d’injection d’objet PHP dans le Blocs essentiels plugin pour WordPress, un plugin avec plus de 100 000 installations.
Nous avons reçu une réponse trois jours plus tard et envoyé notre divulgation complète le 23 août 2023. Une version corrigée du plugin gratuit, 4.2.1, a été publiée le 29 août 2023 avec la version 1.1.1 pour la version Pro publiée de la même manière. jour.
Nous avons émis une règle de pare-feu pour protéger Wordfence PrimeClôture de mots Se soucieret Wordfence Réponse clients le 18 août 2023. Les sites exécutant toujours la version gratuite de Wordfence ont reçu la même protection le 17 septembre 2023. Nous recommandons à tous les utilisateurs de Wordfence de mettre à jour vers la version corrigée, 4.2.1 (1.1.1 pour Pro), dès autant que possible car cela éliminera entièrement les vulnérabilités.
Résumé des vulnérabilités de Wordfence Intelligence
Le plugin Essential Blocks pour WordPress est vulnérable à l’injection d’objets PHP dans les versions jusqu’à 4.2.0 incluses via la désérialisation des entrées non fiables dans le fichier. get_posts fonction. Cela permet à des attaquants non authentifiés d’injecter un objet PHP. Aucune chaîne POP n’est présente dans le plugin vulnérable. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, elle pourrait permettre à l’attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d’exécuter du code.
Le plugin Essential Blocks pour WordPress est vulnérable à l’injection d’objets PHP dans les versions jusqu’à 4.2.0 incluses via la désérialisation des entrées non fiables dans le fichier. get_products fonction. Cela permet à des attaquants non authentifiés d’injecter un objet PHP. Aucune chaîne POP n’est présente dans le plugin vulnérable. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, elle pourrait permettre à l’attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d’exécuter du code.
Analyse technique
Le plugin Essential Blocks fournit plus de 40 blocs à ses utilisateurs, notamment des curseurs, des boutons, des tableaux de prix, des cartes et autres. Une API est fournie pour rechercher des publications et des produits via les points de terminaison de l’API des requêtes et des produits qui ne nécessitent pas d’authentification.
Malheureusement, les données et les attributs des requêtes ont été transmis au format de chaîne sérialisée de PHP et ont ensuite été désérialisés par les fonctions. get_posts (pour le point de terminaison des requêtes) et get_products (pour le point final des produits) dans /includes/API/PostBlock.php et /includes/API/Product.phprespectivement.
get_posts fonction
get_products fonction
Les attaquants pourraient l’utiliser pour injecter un objet PHP avec les propriétés de leur choix. La présence d’un Chaîne PHP POP peut permettre à un attaquant d’exécuter du code arbitraire, de créer et de supprimer des fichiers et éventuellement de s’emparer d’un site vulnérable. Heureusement, aucune chaîne POP n’est présente dans le plugin Essential Blocks, ce qui signifie qu’un attaquant aurait besoin d’un autre plugin ou thème installé sur le site vulnérable avec une chaîne POP présente afin d’exploiter pleinement ces vulnérabilités. Il convient de mentionner que les chaînes POP peuvent parfois être trouvées dans des plugins et des bibliothèques populaires qui incluent des méthodes de destructeurs qui effectuent des tâches de nettoyage lorsqu’un objet est détruit ou désérialisé.
Malgré l’absence de chaîne POP dans le plugin Essential Blocks lui-même et la complexité impliquée dans l’exploitation de ces types de vulnérabilités, une attaque réussie entraîne souvent de graves conséquences. Nous expliquons comment fonctionnent les injections d’objets PHP dans ce billet de blogsi vous souhaitez en savoir plus sur leur fonctionnement interne.
Chronologie
17 août 2023 – L’équipe Wordfence Threat Intelligence découvre deux vulnérabilités PHP Object Injection dans le plugin Essential Blocks.
18 août 2023 – Nous publions une règle de pare-feu pour protéger Wordfence PrimeClôture de mots Se soucieret Wordfence Réponse clients et lancer le processus de divulgation.
23 août 2023 – Nous envoyons la divulgation complète au développeur du plugin.
29 août 2023 – Une version corrigée du plugin Essential Blocks, 4.2.1 (1.1.1 pour Pro), est publiée.
17 septembre 2023 – La règle de pare-feu devient disponible pour les utilisateurs gratuits de Wordfence.
Conclusion
Dans cet article de blog, nous avons couvert deux vulnérabilités PHP Object Injection dans le plugin Essential Blocks affectant les versions 4.2.0 et antérieures dans la version gratuite du plugin et les versions 1.1.0 et antérieures dans la version Pro. Ces vulnérabilités permettent à des acteurs malveillants non authentifiés d’interroger l’API du plugin à l’aide de charges utiles malveillantes sérialisées qui sont ensuite désérialisées. Ils ont été entièrement traités dans la version 4.2.1 de la version gratuite du plugin et 1.1.1 de la version Pro du plugin.
Nous encourageons les utilisateurs de WordPress à vérifier que leurs sites sont mis à jour avec la dernière version corrigée d’Essential Blocks.
Tous Wordfence exécutant Wordfence PrimeClôture de mots Se soucieret Wordfence Réponsesont protégés contre ces vulnérabilités depuis le 18 août 2023. Les utilisateurs utilisant toujours la version gratuite de Wordfence ont reçu une protection le 17 septembre 2023.
Si vous connaissez quelqu’un qui utilise ce plugin sur son site, nous vous recommandons de partager cet avis avec lui pour garantir la sécurité de son site, car cette vulnérabilité présente un risque important.
Pour les chercheurs en sécurité cherchant à divulguer les vulnérabilités de manière responsable et à obtenir un identifiant CVE, vous pouvez soumettez vos conclusions à Wordfence Intelligence et potentiellement gagner une place sur notre classement.
Source link