Une faille critique dans le plugin DemoImporter de ThemeGrill conduit à l’effacement de données et au contournement de l’authentification
Le plugin a été installé plus de 200000 fois. Il sert à importer des contenus, widgets et paramètres de thème de démonstration du thème ThemeGrill officiel en un seul clic.
Le 18 février, le nombre d’installation est tombé à 100000, selon les statistiques fournies par WordPress.
Dans les versions 1.3.4 et supérieures et les versions 1.6.1 et inférieures, il existe une vulnérabilité qui permet à tout utilisateur non authentifié d’effacer la totalité de la base de données et de la remettre dans son état par défaut, après quoi il est automatiquement connecté en tant qu’administrateur.
La condition préalable est qu’ un thème ThemeGrill soit installé et activé. Pour être automatiquement connecté en tant qu’administrateur, il doit y avoir un utilisateur appelé « admin » dans la base de données. Indépendamment de cette condition, la base de données sera toujours effacée dans son état par défaut.
D’après l’historique de commit du SVN, ce problème existe dans le code depuis environ 3 ans, depuis la version 1.3.4.
Le Patch
Le patch se trouve ici et montre qu’une vérification de current_user_can( ‘manage_options’ ) à la méthode reset_wizard_actions a été ajoutée.
Il s’agit d’une vulnérabilité grave qui peut causer des dommages importants. Comme elle ne nécessite pas de charge utile suspecte, aucun pare-feu ne devrait la bloquer par défaut et une règle spéciale doit être créée pour la bloquer.
Indicateurs de compromission
Les logs de changement des plugins sont souvent surveillés par les attaquants pour détecter les corrections de bogues de sécurité et pour comparer les différentes versions afin de voir ce qui a été corrigé. Cela permet aux attaquants d’agir avant que les utilisateurs n’aient mis à jour le plugin. C’est pourquoi il est très important de mettre à jour les plugins le plus rapidement possible.
Cette vulnérabilité est activement exploitée depuis la publication du correctif.
Vous n’êtes pas en mesure d’effectuer ces vérifications ou nettoyage de fichiers ?
Notre service développement peut vous proposer une prestation de vérification et éventuellement de nettoyage et de votre site WordPress.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.