Une vulnérabilité importante a été corrigée dans le Website Builder de SeedProd, qui compte plus de 900 000 installations. Cette vulnérabilité, présente dans les versions jusqu'à la 6.15.21 incluse, présente un risque de modification non autorisée des données sur les sites WordPress.
Détails de la vulnérabilité : vérification de capacité manquante
La vulnérabilité découverte est appelée vérification de capacité manquante dans la fonction 'seedprod_lite_new_lpage'.
Les capacités sont des actions spécifiques que les utilisateurs ou les rôles sont autorisés à effectuer. Une vérification des capacités est une fonctionnalité de sécurité importante dans WordPress pour la gestion des autorisations et des contrôles d'accès. Ils déterminent si un utilisateur a le pouvoir d'effectuer une action spécifique.
C'est similaire à une vérification de rôle dans la mesure où une vérification de rôle vérifie le rôle de l'utilisateur (comme administrateur, éditeur, etc.), tandis qu'une vérification de capacité vérifie si l'utilisateur dispose d'autorisations spécifiques. Une vérification de capacité fournit un contrôle plus granulaire sur les autorisations par rapport à une vérification de rôle.
La vérification des capacités manquantes permet à des attaquants non authentifiés de modifier potentiellement le contenu de diverses pages créées à l'aide du plugin, telles que les pages à venir ou de maintenance. L’absence de ce dispositif de sécurité expose les sites Internet à des risques de falsification des données.
Modification non autorisée des données
La modification non autorisée des données constitue un grave problème de sécurité. Cela résulte d’une faille permettant à des personnes non autorisées de modifier des données, conduisant ainsi à des exploits potentiels. Il est fortement recommandé de remédier à ce type de vulnérabilité dans le plugin Website Builder.
Gravité et impact : exposition à un risque élevé
La vulnérabilité est notée 8,2 sur une échelle de 1 à 10, avec un indice de gravité classé comme « élevé » selon le Common Vulnerability Scoring System (CVSS). La note élevée indique la gravité de l’impact potentiel.
Cette vulnérabilité est si nouvelle qu'il n'y a actuellement aucune entrée dans la base de données nationale sur les vulnérabilités pour le numéro CVE attribué CVE-2024-1072.
Cependant, les chercheurs en sécurité de Wordfence WordPress ont souligné la gravité de la vulnérabilité Website Builder by SeedProd :
"Cela permet à des attaquants non authentifiés de modifier le contenu des prochaines pages de maintenance, de connexion et des pages 404 configurées avec le plugin."
Recommandation pour les utilisateurs du plugin de création de sites Web
L'éditeur du Website Builder de SeedProd a répondu en publiant une version mise à jour, 6.15.22, qui corrige cette vulnérabilité. La mise à jour inclut une exception de sécurité pour atténuer le risque, et il est fortement conseillé aux utilisateurs du plugin de mettre à jour immédiatement pour sécuriser leur site Web contre les attaques.
Concernant le nonce, WordPress explique de quoi il s’agit :
Un nom occasionnel est un « numéro utilisé une fois » pour aider à protéger les URL et les formulaires contre certains types d'utilisation abusive, malveillante ou autre.
…Ils aident à se protéger contre plusieurs types d’attaques…”
Lisez l'annonce de Wordfence :
Créateur de sites Web par SeedProd — Générateur de thèmes, Générateur de pages de destination, Page à venir, Mode maintenance <= 6.15.21 – Autorisation manquante via seedprod_lite_new_lpag
Lire le journal des modifications officiel de SeedProd
Image en vedette par Shutterstock/Nikulina Tatiana