Un plugin anti-spam WordPress avec plus de 60 000 installations a corrigé une vulnérabilité d’injection d’objet PHP qui résultait d’une mauvaise désinfection des entrées, permettant par la suite une entrée utilisateur encodée en base64.
Injection d’objet PHP non authentifié
Une vulnérabilité a été découverte dans le populaire Stop Spammers Security | Bloquer les utilisateurs de spam, les commentaires, les formulaires du plugin WordPress.
Le but du plugin est d’arrêter le spam dans les commentaires, les formulaires et les inscriptions. Il peut arrêter les spambots et permet aux utilisateurs de saisir des adresses IP à bloquer.
C’est une pratique obligatoire pour tout plugin ou formulaire WordPress qui accepte une entrée utilisateur pour n’autoriser que des entrées spécifiques, comme du texte, des images, des adresses e-mail, quelle que soit l’entrée attendue.
Les entrées inattendues doivent être filtrées. Ce processus de filtrage qui empêche les entrées indésirables est appelé assainissement.
Par exemple, un formulaire de contact devrait avoir une fonction qui inspecte ce qui est soumis et bloque (désinfecte) tout ce qui n’est pas du texte.
La vulnérabilité découverte dans le plugin anti-spam permettait une entrée codée (encodée en base64) qui peut ensuite déclencher un type de vulnérabilité appelée vulnérabilité d’injection d’objet PHP.
La description de la vulnérabilité publié sur le site Web de WPScan décrit le problème comme suit :
“Le plugin transmet l’entrée utilisateur encodée en base64 à la fonction PHP unserialize () lorsque CAPTCHA est utilisé comme deuxième défi, ce qui pourrait conduire à l’injection d’objet PHP si un plugin installé sur le blog a une chaîne de gadgets appropriée…”
La classification de la vulnérabilité est Désérialisation non sécurisée.
L’organisation à but non lucratif Open Web Application Security Project (OWASP) décrit l’impact potentiel de ces types de vulnérabilités comme grave, ce qui peut ou non être le cas spécifique à cette vulnérabilité.
Les la description à l’OWASP :
“L’impact des défauts de désérialisation ne peut être surestimé. Ces failles peuvent conduire à des attaques d’exécution de code à distance, l’une des attaques les plus graves possibles.
L’impact sur l’entreprise dépend des besoins de protection de l’application et des données.
Mais l’OWASP note également que l’exploitation de ce type de vulnérabilité a tendance à être difficile :
“L’exploitation de la désérialisation est quelque peu difficile, car les exploits prêts à l’emploi fonctionnent rarement sans modifications ou ajustements du code d’exploitation sous-jacent.”
La vulnérabilité du plugin WordPress Stop Spammers Security a été corrigée dans la version 2022.6
L’officiel Stop Spammers Security changelog (une description avec les dates de diverses mises à jour) note le correctif comme une amélioration de la sécurité.
Les utilisateurs du plugin Stop Spam Security doivent envisager de mettre à jour vers la dernière version afin d’empêcher un pirate d’exploiter le plugin.
Lisez la notification officielle dans la base de données nationale sur les vulnérabilités du gouvernement des États-Unis :
Lisez la publication WPScan des détails liés à cette vulnérabilité :
Stop Spammers Security < 2022.6 - Injection d'objets PHP non authentifiés
Image sélectionnée par Shutterstock/Luis Molinero
— to news.google.com
