Des millions de sites WordPress ont reçu une mise à jour forcée au cours de la dernière journée pour corriger une vulnérabilité critique dans un plugin appelé UpdraftPlus.

Le correctif obligatoire est venu à la demande des développeurs UpdraftPlus en raison de la gravité de la vulnérabilité, permettant aux abonnés, clients et autres non fiables de télécharger la base de données du site tant qu’ils ont un compte sur le site compromis. Les bases de données contiennent souvent des informations sensibles sur les clients ou les paramètres de sécurité du site, laissant des millions de sites vulnérables à de graves violations de données qui divulguent des mots de passe, des noms d’utilisateur, des adresses IP, etc.

Mauvais résultats, facile à exploiter

UpdraftPlus simplifie le processus de sauvegarde et de restauration des bases de données de sites Web et est le plug-in de planificateur en ligne le plus largement utilisé pour le système de gestion de contenu WordPress. Il simplifie la sauvegarde des données sur Dropbox, Google Drive, Amazon S3 et d’autres services cloud. Ses développeurs disent également qu’il permet aux utilisateurs de planifier des sauvegardes régulières et qu’il est plus rapide et utilise moins de ressources serveur que les plugins WordPress concurrents.

« Ce bogue est très facile à exploiter, avec de très mauvais résultats s’il est exploité », a déclaré Mark Monpass, le chercheur en sécurité qui a découvert la vulnérabilité et informé les développeurs du plugin. « Cela a permis aux utilisateurs à faibles privilèges de télécharger des sauvegardes de sites, qui incluent des sauvegardes de bases de données brutes. Les comptes à faibles privilèges peuvent signifier beaucoup de choses. Abonnés réguliers, clients (sur des sites de commerce électronique, par exemple), etc. »

Monpass, Chercheur chez Website Security Company Balayage Jetpack, a déclaré avoir découvert la vulnérabilité lors d’un audit de sécurité du plugin et a fourni des détails aux développeurs d’UpdraftPlus mardi. Un jour plus tard, les développeurs ont publié un correctif et ont accepté de le forcer à être installé sur les sites WordPress sur lesquels le plugin était installé.

Statistiques fournies par WordPress.org Affiche 1,7 million de sites ont reçu la mise à jour jeudi, et plus de 287 000 autres l’avaient installée au moment de la publication. WordPress indique que le plugin compte plus de 3 millions d’utilisateurs.

En révélant la vulnérabilité jeudi, UpdraftPlus A écrit:

Cette faille permet à tout utilisateur connecté sur une installation WordPress avec un UpdraftPlus actif d’exercer le privilège de télécharger une sauvegarde existante, un privilège qui devrait être réservé aux utilisateurs administratifs uniquement. Cela a été possible en raison de la perte des autorisations de vérification du code lié à la vérification de l’état actuel de la sauvegarde. Cela a permis d’obtenir un identifiant interne qui était autrement inconnu et qui pourrait ensuite être utilisé pour passer le processus de vérification sur l’autorisation de téléchargement.

Cela signifie que si votre site WordPress permet aux utilisateurs non fiables de se connecter à WordPress, et si vous avez une sauvegarde existante, vous êtes susceptible d’être vulnérable à un utilisateur techniquement avisé qui cherche à télécharger votre sauvegarde actuelle. Les sites concernés sont exposés à un risque de perte/vol de données par un attaquant accédant à une copie de la sauvegarde de votre site, si votre site contient quelque chose qui n’est pas public. Je dis « techniquement compétent » car à ce stade, aucune preuve générale n’a été donnée sur la manière de tirer parti de cet exploit. À l’heure actuelle, vous comptez sur un pirate informatique qui procède à l’ingénierie inverse des modifications apportées à la dernière version d’UpdraftPlus pour résoudre ce problème. Cependant, vous ne devriez certainement pas vous fier à cette question fastidieuse, mais mettre à jour immédiatement. Si vous êtes le seul utilisateur sur votre site WordPress, ou si tous vos utilisateurs sont dignes de confiance, vous ne courez aucun risque, mais nous vous recommandons quand même de mettre à jour dans tous les cas.