La vulnérabilité du plug-in de publications populaires WordPress affecte plus de 100 000 sites

Un avis a été publié concernant une vulnérabilité WordPress de haute gravité qui permet aux attaquants d'injecter des codes courts arbitraires dans des sites utilisant le plugin WordPress Popular Posts. Les attaquants n'ont pas besoin d'un compte utilisateur pour lancer une attaque.

WordPress Popular Posts est installé sur plus de 100 000 sites Web, ce qui permet aux sites Web d'afficher les publications les plus populaires sur une période donnée et a été traduit en seize langues différentes pour étendre son utilisation dans le monde entier. Il est livré avec des fonctionnalités de mise en cache pour améliorer les performances et une console d'administration qui permet aux administrateurs de sites Web d'afficher les statistiques de popularité.

Vulnérabilité du shortcode WordPress

Les shortcodes sont une fonctionnalité qui permet aux utilisateurs d'insérer des fonctionnalités dans une page Web en insérant un extrait prédéfini entre parenthèses qui insère automatiquement un script qui exécute une fonction, comme l'ajout d'un formulaire de contact avec un shortcode qui ressemble à ceci : (add_contact_form).

WordPress évolue progressivement de l’utilisation de shortcodes au profit de blocs dotés de fonctionnalités spécifiques. Le site officiel des développeurs WordPress encourage les développeurs de plugins et de thèmes à cesser d'utiliser des shortcodes en faveur de blocs dédiés, la raison principale étant qu'il s'agit d'un flux de travail plus fluide pour un utilisateur qui sélectionne et insère un bloc plutôt que de configurer un shortcode dans un plugin puis de l'insérer manuellement. le shortcode dans une page Web.

WordPress conseille :

« Nous recommandons aux gens de mettre à jour leurs shortcodes pour qu'ils deviennent des blocs. »

La vulnérabilité découverte dans le plugin WordPress Popular Posts est due à l’implémentation de la fonctionnalité shortcode, en particulier une partie appelée do_shortcode(), qui est une fonction WordPress pour le traitement et l’exécution de shortcodes qui nécessite une vérification des entrées et d’autres pratiques de sécurité standard des plugins et thèmes WordPress. .

Selon un avis publié par Wordfence :

« Le plugin WordPress Popular Posts pour WordPress est vulnérable à l’exécution arbitraire de shortcode dans toutes les versions jusqu’à la 7.1.0 incluse. Cela est dû au logiciel permettant aux utilisateurs d'exécuter une action qui ne valide pas correctement une valeur avant d'exécuter do_shortcode. Cela permet à des attaquants non authentifiés d’exécuter des codes courts arbitraires.

Cette partie concernant la « validation d'une valeur » signifie généralement vérifier que ce que l'utilisateur saisit (la « valeur »), comme le contenu d'un shortcode, est validé pour confirmer qu'il est sûr et conforme aux entrées attendues avant d'être transmis pour utilisation par le site Internet.

Journal des modifications du plugin officiel

Un journal des modifications est la documentation de ce qui est mis à jour, ce qui permet aux utilisateurs du plugin de comprendre ce qui est mis à jour et de prendre des décisions quant à la mise à jour ou non de leur installation. La transparence est donc importante.

Le plugin WordPress Popular Posts est transparent et responsable dans sa documentation sur la mise à jour.

Le journal des modifications du plugin conseille :

« Corrige un problème de sécurité qui permet l'exécution arbitraire involontaire de shortcode (accessoires aux mikemyers et à l'équipe Wordfence !) »

Actions recommandées

Toutes les versions du plugin WordPress Popular Posts jusqu'à la version 7.1.0 incluse sont vulnérables. Wordfence recommande de mettre à jour vers la dernière version du plugin, 7.2.0.

Lisez l’avis officiel de Wordfence :

Articles populaires WordPress <= 7.1.0 – Exécution de shortcode arbitraire non authentifié

Image en vedette par Shutterstock/GrandeDuc