Le 15 février 2021, l’équipe de Wordfence Threat Intelligence a lancé le processus de divulgation responsable de plusieurs vulnérabilités dans WP Page Builder, un plugin installé sur plus de 10000 sites. Ces vulnérabilités permettaient à tout utilisateur connecté, y compris les abonnés, d’accéder à l’éditeur du générateur de page et d’apporter des modifications aux publications existantes sur le site par défaut. De plus, tout utilisateur connecté peut ajouter du JavaScript malveillant à n’importe quelle publication, ce qui peut entraîner la prise de contrôle du site.
Nous avons d’abord contacté Themeum, l’éditeur du plugin, le 15 février 2021 et avons reçu une réponse ce soir-là. Nous avons fourni une divulgation complète le lendemain, le 16 février 2021. Une version corrigée du plugin a été mise à disposition le 17 mars 2021. Dans une démonstration louable de transparence, Themeum a publié un article de blog le même jour sur les problèmes de sécurité résolus dans la mise à jour.
Les utilisateurs de Wordfence Premium ont reçu une règle de pare-feu protégeant contre ces vulnérabilités le 15 février 2021. Les sites exécutant toujours la version gratuite de Wordfence ont reçu la même protection 30 jours plus tard, le 17 mars 2021.
Plugin concerné: WP Page Builder
Plugin Slug: wp-pagebuilder
Versions affectées:
ID CVE: CVE-2021-24207
Score CVSS: 5,4 (moyen)
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: N / I: L / A: L
Version entièrement corrigée: 1.2.4
WP Page Builder est un concepteur de site qui permet une édition visuelle facile des articles et des pages. Une fonctionnalité qu’il incluait était la possibilité de bloquer des rôles spécifiques de la modification de publications et de pages.
Malheureusement, aucun rôle n’a été bloqué par défaut, y compris les rôles au niveau de l’abonné. Cela signifiait que tout utilisateur capable de se connecter à un site exécutant WP Page Builder, y compris les abonnés et les clients, pouvait accéder à l’éditeur visuel simplement en visitant l’URL de l’éditeur de publication pour une publication ou une page donnée et en fournissant wppb_editor dans le action paramètre. Une fois dans l’éditeur visuel, ces utilisateurs pouvaient apporter et publier des modifications aux publications et aux pages existantes même s’ils n’avaient pas les autorisations normalement nécessaires pour le faire.
Plugin concerné: WP Page Builder
Plugin Slug: wp-pagebuilder
Versions affectées:
ID CVE: CVE-2021-24208
Score CVSS: 7,4 (élevé)
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: L
Version entièrement corrigée: 1.2.4
Bien que la possibilité pour les utilisateurs non approuvés de modifier des articles et des pages soit une nuisance en soi, il était également possible pour tout utilisateur connecté d’ajouter du JavaScript malveillant à n’importe quel article ou page via l’éditeur visuel. Cela pourrait être fait à la fois via le widget «HTML brut» et les widgets «HTML personnalisé». JavaScript pourrait être ajouté directement au widget «HTML brut» via l’interface utilisateur. L’ajout de JavaScript au widget « HTML personnalisé » nécessitait l’envoi d’une requête spécialement conçue via le page_builder_data paramètre lors de l’exécution du wppb_page_save Action AJAX, qui est utilisée par le plugin pour enregistrer les modifications apportées à une publication. Il était également possible d’insérer du JavaScript malveillant via le wppb_page_css paramètre lors de l’envoi d’un wppb_page_save Demande AJAX.
Comme pour toute vulnérabilité de script intersite stockée, un code JavaScript malveillant injecté de cette manière pourrait être utilisé pour insérer des administrateurs malveillants ou ajouter une porte dérobée si un administrateur connecté visitait une page affectée, entraînant la prise de contrôle du site. Le fait que quelconque l’utilisateur connecté, y compris les clients et les abonnés, pourrait utiliser cette technique pour augmenter les privilèges, ce qui augmente considérablement le risque d’exploitation de cette vulnérabilité.
Chronologie
15 février 2021 – Wordfence Threat Intelligence termine la recherche de vulnérabilités dans le plugin WP Page Builder. Nous publions une règle de pare-feu pour nos clients premium et prenons contact avec Themeum, l’éditeur du plugin.
16 février 2021 – Nous fournissons une divulgation complète à Themeum.
17 mars 2021 – Une version corrigée du plugin est mise à disposition et la règle de pare-feu devient disponible pour les utilisateurs gratuits de Wordfence.
Conclusion
Dans l’article d’aujourd’hui, nous avons couvert 2 vulnérabilités dans WP Page Builder qui permettaient collectivement à tout utilisateur connecté de modifier le contenu du site et d’ajouter du JavaScript malveillant à un site. Nous vous recommandons fortement de mettre à jour vers la dernière version disponible, qui est la 1.2.5 au moment de la rédaction de cet article.
Wordfence Premium les utilisateurs sont protégés contre ces exploits depuis le 15 février 2021. Les sites exécutant toujours la version gratuite de Wordfence ont bénéficié de la même protection le 17 mars 2021.
Si vous connaissez quelqu’un qui utilise ce plugin, veuillez lui transmettre cet avis et encouragez-le à s’assurer qu’il a mis à jour la dernière version disponible, car cette vulnérabilité est publique depuis la mise à jour du plugin.
Un merci spécial à Themeum pour sa gestion exemplaire de ces vulnérabilités.
Source link