L'équipe WordFence Threat Intelligence a découvert deux vulnérabilités très graves dans le plugin Page Builder de SiteOrigin qui peuvent être exploitées par des pirates pour créer de nouveaux comptes d'administrateur, planter des portes dérobées et même reprendre des sites Web compromis.
Le plugin WordPress populaire est installé sur plus de 1 million de sites et les vulnérabilités de Page Builder version 2.10.15 et inférieures sont une contrefaçon de demande intersite (CSRF) qui peut conduire à des attaques XSS (Reflected Cross-Site Scripting).
Pour exploiter ces vulnérabilités, un attaquant doit inciter un administrateur de site à cliquer sur un lien ou une pièce jointe spécialement conçu afin d'exécuter du code malveillant dans son navigateur.
Le plugin Page Builder permet aux utilisateurs de WordPress de créer facilement un «contenu basé sur des colonnes réactives» en utilisant à la fois des widgets de WordPress et des widgets du plugin Bundle Widgets de SiteOrigin. Le plugin comprend également un éditeur en direct intégré qui permet aux utilisateurs de mettre à jour le contenu et de glisser / déposer des widgets en temps réel.
Sommaire
Vulnérabilités de Page Builder
Après avoir découvert les deux vulnérabilités de gravité élevée dans son plugin WordPress, WordFence a contacté Site Origin et le développeur a rapidement publié un correctif le lendemain.
Dans un article de blog décrivant les vulnérabilités, Chloe Chamberland de WordFence a expliqué à quel point l'utilisation d'une ancienne version du plugin peut être dangereuse pour les propriétaires de sites, en disant:
"Cette faille pourrait être utilisée pour rediriger l'administrateur d'un site, créer un nouveau compte d'utilisateur administratif ou, comme on l'a vu dans la récente campagne d'attaque ciblant les vulnérabilités XSS, être utilisée pour injecter une porte dérobée sur un site."
Un attaquant qualifié peut même prendre entièrement le contrôle des sites WordPress compromis après avoir créé des comptes d'administrateur escrocs et planté des portes dérobées pour maintenir l'accès.
Au moment de la rédaction de ce rapport, un peu plus de 250 000 utilisateurs de 1 million de Page Builder ont mis à jour le plugin vers la dernière version, 2.10.16. Si votre site utilise ce plugin, il est fortement recommandé de le mettre à jour immédiatement pour éviter d'être victime d'attaques qui exploitent les deux vulnérabilités de gravité élevée dans Page Builder 2.10.15 et versions antérieures.
Via BleepingComputer