Une faille de sécurité met en danger 200 000 sites WordPress

Selon The Hacker News , la vulnérabilité, référencée CVE-2023-3460 (score CVSS 9,8), existe dans toutes les versions du plugin (extension) Ultimate Member, y compris la dernière version (2.6.6) publiée le 29 juin 2023.

Ultimate Member est une extension populaire permettant de créer des profils d'utilisateurs et des communautés sur les sites WordPress. Elle offre également des fonctionnalités de gestion de comptes.

WPScan, une société spécialisée dans la sécurité WordPress, a déclaré que cette faille de sécurité est si grave que les attaquants peuvent l'exploiter pour créer de nouveaux comptes utilisateurs dotés de privilèges d'administrateur, donnant ainsi aux pirates informatiques un contrôle total sur les sites web affectés.

Les détails de la vulnérabilité n'ont pas été divulgués par crainte d'abus. Les experts en sécurité de Wordfence expliquent que, bien que l'extension contienne une liste de clés interdites que les utilisateurs ne peuvent pas modifier, il existe des moyens simples de contourner les filtres, comme l'utilisation de barres obliques ou l'encodage de caractères dans les valeurs fournies par les versions de l'extension.

La faille de sécurité a été annoncée suite à des signalements d'ajout de faux comptes d'administrateur sur des sites web concernés. Les développeurs de l'extension ont alors publié des correctifs partiels dans les versions 2.6.4, 2.6.5 et 2.6.6. Une nouvelle mise à jour est prévue dans les prochains jours.

Ultimate Member a indiqué dans sa nouvelle version qu'une faille d'élévation de privilèges était exploitée via UM Forms, permettant à un tiers de créer un compte utilisateur WordPress disposant de droits d'administrateur. Cependant, WPScan a souligné que les correctifs étaient incomplets et a découvert plusieurs moyens de les contourner, ce qui signifie que la faille reste exploitable.

Cette vulnérabilité est exploitée pour créer de nouveaux comptes sous les noms apads, se_brutal, segs_brutal, wpadmins, wpengine_backup et wpenginer afin de télécharger des plugins et des thèmes malveillants via le panneau d'administration du site web. Il est conseillé aux membres Ultimate de désactiver les plugins jusqu'à la publication d'un correctif complet pour cette vulnérabilité.