Les chercheurs en sécurité ont découvert des bogues dans WordPress, un plugin, dont l’un permettait aux pirates d’acquérir des privilèges d’administrateur pour tout utilisateur enregistré.

Un attaquant non authentifié pourrait mettre à jour des métadonnées arbitraires, ce qui pourrait accorder ou révoquer des privilèges administratifs pour tout utilisateur enregistré sur le site, a déclaré un article de blog de Wordfence. Une autre faille a permis à un attaquant non authentifié de créer des redirections depuis presque n’importe quel emplacement du site vers la destination de son choix.

Rank Math est un plugin utilisé par plus de 200 000 sites Web pour aider les propriétaires à attirer plus de trafic vers leurs sites grâce à l’optimisation des moteurs de recherche (SEO). Le plugin est facile à configurer et prend en charge le balisage de schéma Google (aussi appelé Rich Snippets), l’optimisation des mots clés, l’intégration de Google Search Console et le suivi du classement des mots clés Google.

La faille réside dans un point de terminaison REST-API non protégé. Le plug-in a enregistré un point de terminaison REST-API, rankmath / v1 / updateMeta, qui n’a pas réussi à inclure un permission_callback utilisé pour la vérification des capacités.

«Le point de terminaison a appelé une fonction, update_metadata, qui pourrait être utilisée pour mettre à jour le slug sur les publications existantes, ou pourrait être utilisée pour supprimer ou mettre à jour les métadonnées des publications, des commentaires et des termes. Ce point de terminaison a également permis de mettre à jour les métadonnées pour les utilisateurs, conduisant à cette vulnérabilité critique », ont déclaré les chercheurs.

Non seulement cela, un attaquant pourrait révoquer complètement les privilèges d’un administrateur existant en envoyant une demande similaire avec une méta[wp_user_level] paramètre et une méta[wp_capabilities] paramètre défini sur des valeurs vides.

« Étant donné que de nombreux sites ont un seul administrateur avec un ID utilisateur de 1, cela signifie qu’un attaquant pourrait verrouiller un administrateur de son propre site », a déclaré un article de blog.

Les développeurs utilisant l’API REST dans leurs plugins ont été invités à s’assurer d’inclure un permission_callback sur tous les points de terminaison qu’ils ne souhaitent pas mettre à la disposition du public. « Soyez conscient que cela nécessite également qu’un nonce wp_rest valide soit généré et envoyé avec toutes les demandes au point de terminaison protégé », a ajouté le billet de blog.

Actuellement, toute version de Rank Math inférieure à 10.0.41 est vulnérable aux attaques. Il est fortement recommandé aux utilisateurs de mettre à jour leur plug-in Rank Math SEO vers la dernière version. Les chercheurs ont contacté Rank Math le 25 mars et un correctif a été repoussé le lendemain.

Jake Moore, spécialiste de la cybersécurité chez ESET, a déclaré à SC Media UK qu’il s’agit d’une menace énorme pour un webmaster, car il est extrêmement facile pour un acteur de la menace d’exploiter et de profiter des privilèges d’administrateur avec ce plugin s’il n’est pas corrigé.

« Les plugins WordPress doivent toujours être surveillés de près par les propriétaires, et celui-ci doit être mis à jour immédiatement », a-t-il déclaré.

«Il est essentiel de surveiller de près tous les domaines d’un site Web et de ne jamais se sentir complaisant. Certains sites Web ne sont pas pris en charge en interne, il est donc conseillé de s’assurer que votre site Web est pris en charge par une personne qui est au courant des problèmes de sécurité et au courant des menaces actuelles, ainsi que de surveiller les mises à jour qui deviennent disponibles. »