Le bug dans le plugin WP Live Chat Support aurait permis à des attaquants d’injecter leur propre code dans les sites web qui l’utilisent. Ce problème fait suite à un bug découvert dans le plugin il y a six semaines, qui aurait permis à des attaquants d’exécuter du code sur les sites web affectés.
WP Live Chat Support est un plugin tiers open source pour WordPress qui permet aux utilisateurs d’installer la fonctionnalité de live chat sur leurs sites à des fins d’assistance client. Il existe plus de 60 000 installations actives du logiciel à ce jour, selon sa page WordPress.
Selon Sucuri, la vulnérabilité réside dans un hook admin_init non protégé. Un hook est un moyen qui permet à un bout de code d’interagir et d’en modifier un autre.
WordPress appelle le hook admin_init chaque fois qu’un internaute visite la page admin d’un site WordPress, et les développeurs peuvent, à ce stade, l’utiliser pour appeler diverses fonctions.
Le problème est que admin_init ne nécessite pas d’authentification, signifiant ainsi que toute personne visitant l’URL admin peut déclencher l’exécution du code. Le hook admin de WP Live Chat Support déclenche une action dénommée wplc_head_basic, qui met à jour les paramètres du plugin sans vérifier les privilèges de l’utilisateur.
Un attaquant non authentifié pourrait utiliser cette vulnérabilité pour mettre à jour une option JavaScript appelée wplc_custom_js. Cette option contrôle le contenu que le plugin affiche chaque fois que sa fenêtre live chat d’aide apparaît. Un attaquant pourrait insérer du JavaScript malveillant dans plusieurs pages d’un site web utilisant WordPress, selon les chercheurs.
Ce n’est pas la première fois que WP Live Chat Support doit patcher son plugin. L’année dernière, ses développeurs ont corrigé CVE-2018-12426, un bug permettant aux utilisateurs d’uploader des scripts PHP sur le site et d’exécuter du code à distance.
En avril, Alert Logic a constaté que le plugin était toujours vulnérable même après l’installation du correctif. Les développeurs ont généré cette faille en écrivant leur propre code d’uploading de fichier plutôt que de s’appuyer sur le code intégré de WordPress, ont déclaré les chercheurs.
WP Live Chat Support a corrigé le bug d’insertion de JavaScript dans la version 8.0.27 et le bug d’uploading de fichier dans la version 8.0.29, publiées le 15 mai 2019. Les propriétaires de sites web devraient installer le correctif dès à présent, déclare Sucuri :
Les attaques non authentifiées sont très graves car elles peuvent être automatisées, permettant ainsi à des pirates de lancer facilement, et avec succès, des attaques à grande échelle contre des sites web vulnérables. Le nombre d’installations actives, la facilité d’exploitation et les effets d’une attaque réussie rendent clairement cette vulnérabilité particulièrement dangereuse.
Cependant, certains utilisateurs se sont plaints de l’impossibilité d’installer la mise à jour. La page de WP Live Chat dans le répertoire du plugin WordPress indique qu’il est fermé aux nouvelles installations. Dans son forum d’aide, l’utilisateur Tiiunder a déclaré :
Je ne suis pas capable de mettre à jour le plugin, ce qui est nécessaire à cause de la vulnérabilité apparue ces derniers jours.
Le message suivant s’affiche : Ce plugin a été fermé à de nouvelles installations.
D’autres ont signalé le même problème, l’un d’entre eux se plaignant que le plugin faisait partie d’un thème WordPress qu’ils avaient acheté.
Nous n’avons pas pu obtenir de réponse de la part de l’entreprise via plusieurs canaux, mais cette dernière a récemment incité les internautes, sur Twitter, à mettre à jour leur installation. Son blog mentionne qu’elle a récemment fusionné les versions gratuite et professionnelle du plugin et renvoie vers un guide d’installation.
Billet inspiré de WordPress plugin sees second serious security bug in six weeks, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.