Le 15 février 2021, notre équipe Threat Intelligence a lancé le processus de divulgation responsable d’une vulnérabilité que nous avons découverte dans Image du profil utilisateur, un plugin WordPress installé sur plus de 60 000 sites. La vulnérabilité a rendu possible pour les utilisateurs authentifiés avec le upload_files capacité à obtenir des informations sensibles sur les utilisateurs.

Nous avons d’abord contacté Cozmoslabs, le fournisseur du plugin, le 15 février 2021 via leur formulaire de contact. Le 17 février 2021, Cozmoslabs a confirmé la boîte de réception pour gérer la discussion et nous avons envoyé tous les détails de la divulgation. Juste un jour plus tard, nous avons reçu une réponse du développeur original du plugin avec une proposition de correctif à tester. Nous avons confirmé que le correctif était adéquat et avons fourni une recommandation de sécurité supplémentaire. Ils ont publié le correctif le même jour, le 18 février 2021. Nous vous recommandons vivement de mettre à jour immédiatement la version entièrement corrigée, 2.5.0.

Les utilisateurs de Wordfence Premium ont reçu une règle de pare-feu pour se protéger contre toute tentative d’exploitation ciblant cette vulnérabilité le 15 février 2021. Les sites utilisant toujours la version gratuite de Wordfence recevront la même protection le 17 mars 2021.

Description: Divulgation d’informations sensibles
Plugin concerné: Image du profil utilisateur
Plugin Slug: photo de profil metronet
Versions concernées:
ID CVE: En attente.
Score CVSS: 6,5 (moyen)
Vecteur CVSS: CVSS: 3.0 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: N / A: N
Version entièrement corrigée: 2.5.0

User Profile Picture est un plugin conçu pour permettre aux propriétaires de sites de télécharger des photos de profil pour des utilisateurs individuels. Par défaut, WordPress définira une image de profil utilisateur sur le Gravatar associé, le cas échéant, pour tout e-mail donné. Ce plugin permet de personnaliser les images de profil utilisateur et de remplacer le Gravatar associé à une adresse e-mail.

Une fonctionnalité offerte par le plugin était la possibilité d’ajouter des profils utilisateur à une publication à l’aide d’un bloc Gutenberg. Lors de l’ajout du bloc à une publication, le plugin a fait une demande de données utilisateur pour récupérer la photo de profil et le nom d’utilisateur des utilisateurs ayant accès à l’éditeur Gutenberg afin d’ajouter les informations au bloc. Pour récupérer ces informations, le plugin a enregistré la route de l’API REST /mpp/v2/get_users lié à la rest_api_get_users fonction.

register_rest_route(
                        'mpp/v2',
                        '/get_users',
                        array(
                                'methods'             => 'POST',
                                'callback'            => array( $this, 'rest_api_get_users' ),
                                'permission_callback' => array( $this, 'rest_get_users_permissions_callback' ),
                        )

Malheureusement, ce point de terminaison de l’API REST a renvoyé plus d’informations que nécessaire pour sa fonctionnalité. Cela comprenait les hachages de mot de passe, les clés d’activation utilisateur hachées, les noms d’utilisateur, les e-mails et d’autres informations moins sensibles.

Un regard sur l’exploit de la photo du profil utilisateur.

Le point de terminaison de l’API REST disposait d’un rappel d’autorisations empêchant les utilisateurs d’y accéder à moins qu’ils n’aient le upload_files aptitude. Par défaut, cela ne serait disponible que pour les utilisateurs dans le rôle d’auteur et au-dessus. Cependant, la page du plugin Image de profil utilisateur promeut un plugin distinct, Profile Builder, par les mêmes développeurs, notant qu’il peut être utilisé pour permettre à d’autres rôles de télécharger des images. Ce faisant, un propriétaire de site rendrait possible l’accès aux utilisateurs et aux rôles qui n’ont pas upload_files capacité par défaut de télécharger leurs propres photos de profil. Il est probable qu’un certain nombre de propriétaires de sites aient accordé cette capacité à des utilisateurs de niveau inférieur.

Dans une configuration normale, tous les auteurs et éditeurs pourraient récupérer ces informations sensibles. En outre, tous les sites où le upload_files la capacité qui avait été accordée à des utilisateurs moins privilégiés pourrait être exploitée par ces utilisateurs pour récupérer ces informations également.

Si un attaquant était capable de déchiffrer un mot de passe ou une clé d’activation utilisateur, il pourrait potentiellement se connecter au site WordPress vulnérable et le prendre efficacement en charge. Cependant, il convient de noter que les mots de passe WordPress et les clés d’activation utilisateur sont salés et hachés avec une cryptographie forte et, par conséquent, seraient très difficiles à déchiffrer pour une utilisation ultérieure, en particulier si des mots de passe forts sont utilisés.

Calendrier de divulgation

15 février 2021 Conclusion de l’analyse du plugin qui a conduit à la découverte de la vulnérabilité. Nous développons une règle de pare-feu pour protéger les clients de Wordfence et la diffusons aux utilisateurs de Wordfence Premium. Nous avons fait notre première tentative de contact avec le fournisseur, CozmosLabs.
17 février 2021 Nous recevons une réponse confirmant la boîte de réception appropriée pour la gestion de la discussion. Nous fournissons tous les détails de la divulgation.
18 février 2021 Nous recevons un accusé de réception de Ronald Huereca, le développeur original du plugin, ainsi qu’une proposition de correctif. Nous vérifions que le correctif résout le problème de sécurité et fournissons une recommandation de sécurité supplémentaire.
18 février 2021 Une version corrigée du plugin est publiée en tant que version 2.5.0. Nous vérifions à nouveau que la vulnérabilité a été corrigée.
17 mars 2021 – Les utilisateurs gratuits de Wordfence recevront une règle de pare-feu.

Conclusion

Dans l’article d’aujourd’hui, nous avons détaillé une faille dans le plugin User Profile Picture qui permettait aux attaquants d’obtenir des informations sensibles telles que des mots de passe utilisateur hachés. Cette faille a été entièrement corrigée dans la version 2.5.0. Nous recommandons aux utilisateurs de mettre immédiatement à jour vers la dernière version disponible, qui est la version 2.5.0 au moment de cette publication.

Wordfence Premium les utilisateurs ont reçu une règle de pare-feu protégeant contre cette vulnérabilité le 15 février 2021, tandis que ceux qui utilisent encore la version gratuite de Wordfence recevront la même protection le 17 mars 2021.

Si vous connaissez un ami ou un collègue qui utilise ce plugin sur son site, nous vous recommandons vivement de lui transmettre cet avis pour aider à protéger ses sites.

Un merci spécial à Ronald Huereca, le développeur original du plugin, pour avoir travaillé rapidement pour fournir un correctif aux clients.


Source link