Le 4 mai 2021, l’équipe de renseignement sur les menaces de Wordfence a lancé le processus de divulgation responsable pour Gestionnaire de téléchargement WordPress, un plugin WordPress installé sur plus de 100 000 sites. Nous avons trouvé deux vulnérabilités distinctes, notamment une divulgation d’informations sensibles ainsi qu’une vulnérabilité de téléchargement de fichier qui aurait pu entraîner l’exécution de code à distance dans certaines configurations.
Le développeur du plugin a répondu à notre premier contact en moins d’une heure, et nous avons fourni une divulgation complète et confidentielle le même jour, le 24 mai 2021. Une version corrigée du plugin WP Download Manager a été publiée le lendemain, le 25 mai. 2021.
Le pare-feu Wordfence offre une protection intégrée contre ces vulnérabilités à tous les utilisateurs de Wordfence, y compris Wordfence Premium clients ainsi que ceux qui utilisent encore la version gratuite de Wordfence.
Plugin concerné : Gestionnaire de téléchargement WordPress
Plugin Slug : Gestionnaire de téléchargement
Versions concernées :
Identifiant CVE : CVE-2021-34638
Note CVSS : 6.5 (Moyen)
Vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Des chercheurs: Ramuel Gall
Version entièrement corrigée : 3.1.25
Le plugin WordPress Download Manager permet d’utiliser des modèles pour modifier l’affichage des pages de téléchargement. Bien qu’il y ait eu certaines protections en place pour se protéger contre la traversée de répertoires, elles étaient terriblement insuffisantes. En tant que tel, il était possible pour un utilisateur avec des autorisations inférieures, comme un contributeur, de récupérer le contenu d’un site wp-config.php en ajoutant un nouveau téléchargement et en effectuant une attaque de traversée de répertoire à l’aide du file[page_template] paramètre.
Lors de la prévisualisation du téléchargement, le contenu du wp-config.php fichier serait visible dans la source de la page.
Étant donné que le contenu du fichier fourni dans le file[page_template] paramètre ont été renvoyés sur la source de la page, un utilisateur avec des autorisations au niveau de l’auteur peut également télécharger un fichier avec une extension d’image contenant du JavaScript malveillant et définir le contenu de file[page_template] au chemin du fichier téléchargé. Cela entraînerait l’exécution du JavaScript dans le fichier chaque fois que la page était affichée ou prévisualisée, ce qui entraînerait un script intersites stocké. En tant que tel, et bien que le score CVSS de cette vulnérabilité ne soit que de 6,5, il pourrait être utilisé pour prendre le contrôle d’un site soit en obtenant des informations d’identification de base de données, soit en exécutant JavaScript dans une session de navigateur d’un administrateur.
Plugin concerné : Gestionnaire de téléchargement WordPress
Plugin Slug : Gestionnaire de téléchargement
Versions concernées :
Identifiant CVE : CVE-2021-34639
Note CVSS : 7.5 (Élevé)
Vecteur CVSS : CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Des chercheurs: Ramuel Gall
Version entièrement corrigée : 3.1.25
Avant nos découvertes, le plugin WordPress Download Manager a corrigé une vulnérabilité permettant aux auteurs et autres utilisateurs avec le upload_files possibilité de télécharger des fichiers avec php4 ainsi que d’autres fichiers potentiellement exécutables. Alors que le correctif en question était suffisant pour protéger de nombreuses configurations, il ne vérifiait que la toute dernière extension de fichier, il était donc toujours possible d’effectuer une attaque « double extension » en téléchargeant un fichier avec plusieurs extensions. Par exemple, il était possible de télécharger un fichier intitulé info.php.png. Ce fichier serait exécutable sur certaines configurations Apache/mod_php qui utilisent un AddHandler ou alors AddType directif.
Bien que le score CVSS de cette vulnérabilité soit significativement plus élevé que celui de la vulnérabilité précédente, il est beaucoup moins probable qu’elle soit exploitée dans le monde réel en raison de la présence d’un .htaccess dans le répertoire des téléchargements, ce qui rend difficile l’exécution des fichiers téléchargés.
Calendrier de divulgation
4 mai 2021 – Nous terminons la recherche de vulnérabilités dans WordPress Download Manager et entamons le contact avec le développeur du plugin. Nous recevons une réponse en moins d’une heure et envoyons une divulgation complète.
5 mai 2021 – Un patch est publié
Conclusion
Dans l’article d’aujourd’hui, nous avons couvert deux vulnérabilités dans WordPress Download Manager, y compris une vulnérabilité de gravité moyenne qui pourrait être utilisée pour prendre le contrôle d’un site de plusieurs manières, ainsi qu’une vulnérabilité de gravité élevée qui serait beaucoup plus difficile à exploiter. Ces vulnérabilités sont un excellent exemple de la raison pour laquelle les analystes examinent le mécanisme de chaque vulnérabilité afin de juger de l’impact potentiel, car le score CVSS raconte rarement toute l’histoire.
Tous les sites Wordfence, y compris Wordfence Premium les clients et ceux qui utilisent toujours la version gratuite de Wordfence sont entièrement protégés par les atténuations intégrées du pare-feu Wordfence. Néanmoins, si vous connaissez un ami ou un collègue qui utilise ce plugin sur son site, nous vous recommandons fortement de lui transmettre cet avis pour vous assurer que son site a été mis à jour.
Un merci spécial au développeur du plugin WordPress Download Manager, W3 Eden, pour leur excellente réponse rapide.
Source link