Vulnérabilité critique d’exécution de code

Le 29 mars 2022, l’équipe Wordfence Threat Intelligence a lancé le processus de divulgation d’une vulnérabilité critique dans le plugin Elementor qui permettait à tout utilisateur authentifié de télécharger du code PHP arbitraire. Elementor est l’un des plugins WordPress les plus populaires et est installé sur plus de 5 millions de sites Web.

Nous avons envoyé notre divulgation à l’adresse e-mail officielle du contact de sécurité d’Elementor le 29 mars et avons fait un suivi le 5 avril 2022. Comme nous n’avons pas reçu de réponse avant le 11 avril 2022, nous avons envoyé la divulgation à l’équipe des plugins WordPress. Une version corrigée du plugin, 3.6.3, a été publiée le lendemain, le 12 avril 2022.

Les utilisateurs de Wordfence Premium , Wordfence Care et Wordfence Response ont reçu une règle de pare-feu protégeant contre ce problème le 29 mars 2022. Les sites exécutant encore la version gratuite de Wordfence recevront la même protection 30 jours plus tard, le 28 avril 2022.

Description : Contrôle d’accès insuffisant conduisant à l’exécution de code à distance par l’abonné +
Plugin concerné : Elementor
Plugin Slug : elementor
Plugin Developer : Elementor
Versions concernées : 3.6.0 – 3.6.2
ID CVE : CVE-2022-1329
Score CVSS : 9,9 (critique)
Vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Chercheur(s ) : Ramuel Gall
Version entièrement corrigée : 3.6.3

Le plugin Elementor pour WordPress a introduit un module d’intégration dans la version 3.6.0, conçu pour simplifier la configuration initiale du plugin. Le module utilise une méthode inhabituelle pour enregistrer les actions AJAX, en ajoutant un admin_initécouteur dans son constructeur qui vérifie d’abord si une demande était ou non au point de terminaison AJAX et contient un nonce valide avant d’appeler la maybe_handle_ajaxfonction.

Malheureusement, aucun contrôle de capacité n’a été utilisé dans les versions vulnérables. Il existe plusieurs façons pour un utilisateur authentifié d’obtenir le Ajax::NONCE_KEY, mais l’un des moyens les plus simples consiste à afficher la source du tableau de bord d’administration en tant qu’utilisateur connecté, car elle est présente pour tous les utilisateurs authentifiés, même au niveau de l’abonné. utilisateurs.

Cela signifie que tout utilisateur connecté peut utiliser n’importe laquelle des fonctions d’intégration. De plus, un attaquant non authentifié ayant accès à Ajax::NONCE_KEYpourrait utiliser n’importe laquelle des fonctions appelées à partir de maybe_handle_ajax, bien que cela nécessiterait probablement une vulnérabilité distincte.

La fonction avec l’impact le plus sévère était la upload_and_install_profonction. Un attaquant pourrait créer un faux fichier zip malveillant du plug-in « Elementor Pro » et utiliser cette fonction pour l’installer. Tout code présent dans le faux plugin serait exécuté, ce qui pourrait être utilisé pour prendre le contrôle du site ou accéder à des ressources supplémentaires sur le serveur.

En plus de cette fonctionnalité, un attaquant moins sophistiqué pourrait simplement défigurer le site en utilisant les fonctions maybe_update_site_name, maybe_upload_logo_imageet maybe_update_site_logopour modifier le nom et le logo du site.

Chronologie

29 mars 2022 – Nous terminons notre enquête et déployons une règle de pare-feu pour protéger les clients Wordfence Premium , Wordfence Care et Wordfence Response . Nous envoyons notre divulgation complète au contact de sécurité officiel du développeur du plugin.
5 avril 2022 – Nous faisons un suivi avec le contact de sécurité du développeur du plugin car nous n’avons pas encore reçu de réponse.
11 avril 2022 – Nous envoyons notre divulgation complète à l’équipe WordPress Plugins.
12 avril 2022 – Une version corrigée d’Elementor est publiée.
28 avril 2022 – La règle de pare-feu devient disponible pour les utilisateurs gratuits de Wordfence.

Conclusion

Dans l’article d’aujourd’hui, nous avons couvert une vulnérabilité critique qui permet à tout utilisateur authentifié de télécharger et d’exécuter du code malveillant sur un site exécutant une version vulnérable du plug-in Elementor. Si votre site utilise le plugin Elementor, nous vous invitons à le mettre à jour immédiatement. La bonne nouvelle est que la vulnérabilité n’est pas présente dans les versions antérieures à 3.6.0 et a été corrigée avec succès dans 3.6.3.

Les clients Wordfence Premium , Wordfence Care et Wordfence Response sont entièrement protégés contre cette vulnérabilité. Les sites exécutant la version gratuite de Wordfence recevront la même protection le 28 avril 2022, mais auront la possibilité de mettre à jour Elementor vers la version corrigée 3.6.3 pour éliminer immédiatement le risque.

Si vous pensez que votre site a été compromis à cause de cette vulnérabilité ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via  Wordfence Care . Si vous avez besoin que votre site soit nettoyé immédiatement,  Wordfence Response offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire.

Si vous connaissez un ami ou un collègue qui utilise WordPress, nous vous recommandons fortement de lui transmettre cet avis pour aider à protéger ses sites, car il s’agit d’une vulnérabilité critique qui permet aux attaquants de prendre facilement le contrôle d’un site.