La vulnérabilité du plugin WordPress Google Fonts affecte jusqu'à +300 000 sites

Une vulnérabilité classée élevée a été récemment corrigée dans un plugin d'optimisation Google Fonts pour WordPress, permettant aux attaquants de supprimer des répertoires entiers et de télécharger des scripts malveillants.

OMG | Plugin WordPress conforme au RGPD/DSGVO

Le plugin, OMGF | Conforme au RGPD/DSGVO, polices Google plus rapides. Easy., optimise l'utilisation de Google Fonts pour réduire l'impact sur la vitesse des pages et est également conforme au RGPD, ce qui le rend précieux pour les utilisateurs de l'Union européenne souhaitant mettre en œuvre Google Fonts.

Capture d'écran de l'évaluation de la vulnérabilité de Wordfence

Vulnérabilité

La vulnérabilité est particulièrement préoccupante car elle autorise des attaquants non authentifiés. « Non authentifié » signifie qu'un attaquant n'a pas besoin d'être enregistré sur le site Web ni de disposer d'un quelconque niveau d'informations d'identification.

La vulnérabilité est décrite comme permettant la suppression de répertoires non authentifiés et le téléchargement de charges utiles Cross-Site Scripting (XSS).

Le Cross-Site Scripting (XSS) est un type d'attaque dans lequel un script malveillant est téléchargé sur un serveur de site Web, qui peut ensuite être utilisé pour attaquer à distance les navigateurs de n'importe quel visiteur. Cela peut entraîner l'accès aux cookies ou aux informations de session d'un utilisateur, permettant à l'attaquant d'assumer le niveau de privilège de cet utilisateur visitant le site.

La cause de la vulnérabilité, identifiée par les chercheurs de Wordfence, est l'absence de contrôle de capacité – une fonctionnalité de sécurité qui vérifie si un utilisateur a accès à une fonctionnalité spécifique d'un plugin, dans ce cas, une fonctionnalité de niveau administrateur.

Voir aussi : Sécurité WordPress : 16 étapes pour sécuriser et protéger votre site

Une page officielle des développeurs WordPress destinée aux créateurs de plugins dit ceci à propos de la vérification des capacités :

« Les capacités utilisateur sont les autorisations spécifiques que vous attribuez à chaque utilisateur ou à un rôle d'utilisateur.

Par exemple, les administrateurs disposent de la capacité « manage_options » qui leur permet d'afficher, de modifier et d'enregistrer les options du site Web. Les éditeurs, en revanche, n'ont pas cette capacité, ce qui les empêchera d'interagir avec les options.

Ces capacités sont ensuite vérifiées à différents points de l'administration. En fonction des capacités attribuées à un rôle ; des menus, des fonctionnalités et d’autres aspects de l’expérience WordPress peuvent être ajoutés ou supprimés.

Lorsque vous créez un plugin, assurez-vous d'exécuter votre code uniquement lorsque l'utilisateur actuel dispose des capacités nécessaires.

Wordfence décrit la cause de la vulnérabilité :

"... est vulnérable à la modification non autorisée des données et aux scripts intersites stockés en raison d'une vérification de capacité manquante sur la fonction update_settings() connectée via admin_init dans toutes les versions jusqu'à 5.7.9 incluse."

Wordfence indique également que les mises à jour précédentes ont tenté de combler la faille de sécurité, mais considère la version 5.7.10 comme la version la plus sécurisée du plugin.

Lisez l'avertissement de vulnérabilité Wordfence :

OMG | Conforme au RGPD/DSGVO, polices Google plus rapides. Facile. <= 5.7.9 – Autorisation manquante pour la suppression d'annuaire non authentifiée et les scripts intersites

Image en vedette par Shutterstock/Nikulina Tatiana