Une combinaison de failles WooCommerce / WordPress permet le détournement de site Web

Le problème dans le système de gestion de contenu (CMS – Content Management System) a été découvert par Simon Scannell, un chercheur en sécurité de RIPS Technologies, qui a déclaré dans un article de blog que la faille a un impact spécifique sur WooCommerce, un plugin WordPress populaire qui a été téléchargé plus de quatre millions de fois.

« La vulnérabilité permet aux responsables de la boutique de supprimer certains fichiers sur le serveur et de prendre en charge n’importe quel compte administrateur » explique le chercheur en sécurité. Le plugin a été développé par Automattic et est un système de commerce électronique gratuit pour les sites Web basés sur WordPress.

Un bug concernant la fonction de suppression de fichier a été trouvé dans le plugin. Elle n’est pas critique en soi. Car elle permet simplement de supprimer les pages index.php et de provoquer un déni de service. Cependant, lorsqu’elle est couplée avec une faille WordPress, la gravité du bug augmente. Le problème non corrigé de WordPress provient de la façon dont le CMS attribue des droits à différents rôles. Lorsque le rôle de gestionnaire de boutique est défini, la capacité edit_users est définie pour permettre aux utilisateurs ayant ces privilèges de modifier les comptes clients.

Même si le plugin est inactif, ce privilège de compte est stocké dans la base de données WordPress.

Par défaut, la fonction edit_users permet à un titulaire de compte de modifier les droits de n’importe quel utilisateur, y compris les comptes administrateur. Pour éviter tout abus, WooCommerce spécifie que seuls les comptes ayant le rôle client peuvent être édités — mais ces ajouts de métadonnées, rendus possibles par la fonctionnalité current_user_can(), ne sont actifs que lorsque le plugin est activé.

C’est là que réside le problème le plus profond. Comme la faille de WordPress maintient le rôle du gestionnaire de boutique stocké séparément du plugin, si WooCommerce est désactivé, les attaquants qui peuvent accéder à l’un de ces comptes ne sont pas limités par les changements de métadonnées.

« Cela signifie que si WooCommerce a été désactivé pour une raison quelconque, la vérification des droits qui empêche les gestionnaires de boutique d’éditer les administrateurs ne s’exécutera pas et le comportement par défaut qui permet aux utilisateurs avec edit_users d’éditer tout utilisateur, même les administrateurs, se produira », explique Scannell. « Cela permettrait aux responsables de la boutique de mettre à jour le mot de passe du compte administrateur et de prendre en charge le site entier. »

Si un pirate est capable de mener à bien une campagne de phishing et d’obtenir les identifiants d’un compte de responsable de boutique ou utilise une vulnérabilité XSS dans le même but, la chaîne d’attaque est rendue possible.

« La méthode détaillée (…) montre comment une vulnérabilité de suppression de fichier dans n’importe quel plugin WordPress peut être utilisée pour escalader les privilèges lorsque des méta privilèges sont utilisés » explique le chercheur.

La vulnérabilité de WooCommerce a été signalée à Automattic en août, conduisant à une correction dans la version 3.4.6 du plugin, sortie le 11 octobre.

Go to Source


bouton-devis