Une vulnérabilité dans UpdraftPlus : WP Backup & Le plugin de migration affecte plus de 3 millions de sites Web WordPress, permettant à des attaquants non authentifiés d’exécuter des commandes en tant qu’administrateurs. Cette faille permet aux attaquants de télécharger et d’activer des plugins malveillants, conduisant à une potentielle exécution de code à distance.
UpdraftPlus est l’une des solutions de sauvegarde les plus utilisées pour WordPress, aidant les utilisateurs à créer des sauvegardes, à restaurer des sites Web et à migrer entre les serveurs. Le plugin prend en charge le stockage de sauvegarde sur plusieurs services cloud et distants.
La vulnérabilité ne nécessite pas qu’un attaquant se connecte ou possède un compte WordPress pour être exploitée. Seuls les sites dotés d’une clé Migrator ou d’une clé UpdraftCentral active sont sensibles à ce problème. Les versions jusqu’à 1.26.4 incluses contiennent la faille, qui provient d’un échec dans la fonction UpdraftPlus_Remote_Communications_V2::wp_loaded.
Cette faille de sécurité est classée comme vulnérabilité de contournement d’authentification, permettant aux attaquants de contourner la vérification d’identité et les contrôles d’informations d’identification, leur permettant ainsi d’effectuer des actions au niveau de l’administration sans se connecter. Les attaquants exploitent cette faille en raison d’une validation insuffisante des formats de messages de communication à distance.
Wordfence a détaillé que la vulnérabilité permet à des attaquants non authentifiés de forger des commandes RPC arbitraires que le plugin exécute en tant qu’administrateur connecté. Cela signifie qu’ils peuvent télécharger et activer des plugins malveillants, ce qui peut conduire à l’exécution de code à distance sur les sites Web concernés.
Les conséquences potentielles de cette vulnérabilité incluent des risques étendus tels que l’infection par des logiciels malveillants, la dégradation de sites Web, l’accès non autorisé et le vol d’informations sensibles. Des preuves de tentatives actives d’exploitation de la faille sont apparues, Wordfence signalant 8 172 attaques bloquées ciblant cette vulnérabilité sur une période de 24 heures.
UpdraftPlus a publié un correctif pour résoudre ce problème. Il est fortement conseillé aux utilisateurs de mettre immédiatement à jour leurs installations vers la version 1.26.5 ou une version plus récente pour sécuriser leurs sites Web contre cette vulnérabilité.
