Le 13 mai 2021 à 01h00 UTC, WordPress core a publié un patch de sécurité pour une vulnérabilité d’injection d’objets critiques dans PHPMailer, le composant utilisé par WordPress pour envoyer des e-mails par défaut. Si votre site est configuré pour autoriser la mise à jour automatique des versions ponctuelles mineures, votre site a probablement déjà été mis à jour vers WordPress 5.7.2.
Bien que nous vous recommandons de mettre à jour WordPress immédiatement si vous ne l’avez pas déjà fait, pour le moment, nous ne pensons pas que la plupart des sites WordPress soient susceptibles d’être exploitables par cette vulnérabilité.
Ne paniquez pas
La vulnérabilité en question est une faille Object Injection présente dans plusieurs versions de PHPMailer à laquelle a été attribué un identifiant de CVE-2020-36326. C’est similaire à une autre vulnérabilité, CVE-2018-19296, qui avait été corrigé dans une version antérieure de PHPMailer.
Nous avons écrit sur les vulnérabilités d’injection d’objets dans le passé, et bien qu’elles doivent être prises au sérieux, toutes les vulnérabilités d’injection d’objets nécessitent une «chaîne POP» afin de causer des dommages supplémentaires. Afin d’exploiter cette vulnérabilité, des logiciels supplémentaires avec une méthode magique vulnérable devraient être exécutés sur le site.
En supposant la présence d’une chaîne POP, il y a encore plus d’obstacles qui devraient être contournés afin d’exploiter cette vulnérabilité. Bien que toute personne ayant un accès direct à PHPMailer puisse être en mesure d’injecter un objet PHP, garantissant une cote de gravité critique dans le composant PHPMailer lui-même, WordPress n’autorise pas les utilisateurs à ce type d’accès direct. Au lieu de cela, tous les accès se font via des fonctionnalités exposées dans le noyau et dans divers plugins.
Afin d’exploiter cela, un attaquant devrait trouver un moyen d’envoyer un message à l’aide de PHPMailer et ajouter une pièce jointe à ce message. De plus, l’attaquant devra trouver un moyen de contrôler complètement le chemin vers la pièce jointe. Cela exclut automatiquement la fonctionnalité WordPress intégrée et la fonctionnalité de la plupart des plugins, car même les plugins de formulaire de contact qui permettent le téléchargement de fichiers et l’envoi de pièces jointes utilisent généralement l’emplacement du fichier téléchargé comme pièce jointe et ne permettent pas aux utilisateurs de contrôler directement la pièce jointe. chemin.
Selon notre évaluation, réussir à exploiter cette vulnérabilité nécessiterait un grand nombre de facteurs pour s’aligner, y compris la présence d’au moins une vulnérabilité supplémentaire dans un plugin ou autre composant installé sur le site ainsi que la présence d’une méthode magique vulnérable. Nous ne connaissons pas non plus actuellement de plugins qui pourraient être utilisés pour exploiter cette vulnérabilité, même en tant qu’administrateur de site.
Il est peu probable qu’il soit utilisé comme vecteur d’intrusion, bien qu’il soit possible qu’il puisse être utilisé par des attaquants qui ont déjà obtenu un certain niveau d’accès pour élever leurs privilèges
Néanmoins, nous vous recommandons fortement de mettre à jour vers la dernière version de WordPress dès que possible, car le grand nombre d’installations WordPress existantes signifie que des sites exploitables existent probablement. En outre, la vulnérabilité peut être plus facile à exploiter que prévu initialement, ou les chercheurs d’origine ou d’autres acteurs peuvent publier un code de preuve de concept plus détaillé dans le futur.
La protection intégrée de désérialisation PHAR du pare-feu Wordfence doit protéger tous nos utilisateurs, y compris Wordfence Premium les clients ainsi que ceux qui utilisent encore la version gratuite, contre toute tentative d’exploitation de cette vulnérabilité.
Conclusion
Dans l’article d’aujourd’hui, nous avons couvert une vulnérabilité d’injection d’objets dans PHPMailer, un composant logiciel utilisé par WordPress pour envoyer des e-mails. Nous vous recommandons de mettre à jour WordPress core si vous ne l’avez pas déjà fait, mais nous ne pensons pas actuellement qu’il y ait lieu de s’alarmer, et ne nous attendons pas à voir cette vulnérabilité attaquée à grande échelle car elle dépend d’un certain nombre d’autres facteurs pour réussir à l’exploiter.
Un merci spécial au développeur en chef de Wordfence, Matt Barry, et au responsable de l’assurance qualité, Matt Rusnak, pour leur aide avec cet article.
Source link