OYÉ OYÉ braves damoiseaux et damoiselles !
Si vous utilisez Disqus sur votre installation WordPress, sachez que les plugins de versions inférieures à la 1.76 sont faillibles à une attaque de type RCE (Remote Code Execution).
Le nom parle de lui-même et cela permet d’exécuter à distance des commandes sur le serveur où se trouve le plugin. Cette faille se situe dans le parseur JSON du plugin Disqus qui utilise une fonction PHP eval() mal codée.
Ce plugin étant présent sur 1,3 million de sites, c’est important de faire tourner l’info pour éviter la catastrophe.
Pour savoir si vous êtes vulnérable, il suffit de connaitre les n° de version de vos softs…. Bref, le tiercé gagnant est d’avoir :
PHP 5.1.6 ou une version plus ancienne + WordPress 3.1.4 ou une version plus ancienne + le plugin Disqus pour WordPresse 2.75 ou plus ancien.
Si ça colle avec votre installation, vous êtes donc vulnérable et un attaquant pourra pousser son propre code PHP (via un simple commentaire) sur vos pages puis appeler l’URL suivante qui sert à synchroniser les commentaires d’un article donné :
http://somesite.com/?cf_action=sync_comments&post_id=TARGET_POST_ID
Et qui exécutera alors la commande présente sur la page.
Pour vous prémunir de tout problème, mettez à jour WordPress, PHP et bien sûr le plugin Disqus…