Le plugin wordpress WP Maintenance Mode vient de recevoir une mise à jour afin de combler 3 failles découvertes par les équipes de Wordfence
Description de WP Maintenance Mode et de ces failles
Utilisé sur plus de 400 000 plateformes WordPress, ce plugin est assez populaire, assez en tout cas pour que des équipes de développeurs par à la recherche de faille sur celui-ci. Si vous ne le connaissez pas encore et bien sachez qu’il permet d’ajouter un « mode maintenance » à votre blog, le temps de réaliser quelques travaux de codage par exemple, pendant une mise importante ou pourquoi pas le temps de la période estivale. Bref chacun y trouvera ses propres raisons de l’utiliser. WP Maintenance Mode est très complet, il dispose de nombreuses fonctionnalités et forcément qui dit, nombreuses fonctionnalités dit, autant de risque de se retrouver avec des vulnérabilités. Ceux sont pas moins de 3 qui ont d’ailleurs été découvertes par les équipes de Wordfence, le plugin de sécurité pour WordPress.
La première faille, notée 4.3, sur une échelle de dangerosité allant de 1 à 10, permet de récupérer la liste des personnes s’étant inscrites sur votre blog par le biais du mode maintenance et qui ont demandées à être averti de la remise en ligne du site. Ceux sont donc des informations personnelles qui sont clairement la cible de cette faille. Pour arriver à ses fins, par besoin de permissions particulière, le pirate n’avait besoin que … de s’abonner lui-même !
La seconde vulnérabilité, elle aussi notée 4.3/10 permettait à quiconque possédant un compte « abonné » de modifier les réglages de WP Maintenance Mode.
La dernière et non des moindres, puisque celle-ci a été noté 9.1/10. Toute fois, même si elle est jugée très critique, l’impact de cette faille n’est pas très large. vous allez comprendre pourquoi. Si vous utilisez un peu WordPress au quotidien, vous savez probablement qu’il peut être utilisé pour un site ou pour plusieurs à la fois. On parle dans ce cas de multisite. Cette faille est surtout dangereuse dans le cas d’une utilisation multisite, mais pour l’utiliser, il faut déjà avoir un accès administrateur. Quel intérêt dans ce cas? et bien dans le cas d’un wordpress multisite où chaque site possède son propre et unique administrateur, un de ces admin, un peu malhonnête pourrait utiliser cette vulnérabilité et ainsi exécuter des commandes shell, accéder à des informations sensibles, faire une escalade de privilèges ou de causer un déni de service. En résumé, un administrateur pourrait se retrouver avec les droits complets de tous les sites ou les mettre K.O comme bon lui semble. Comme je disais, le champ d’action est limité car en général nous donnons les accès « administrateur » a des personnes de confiance, mais si cette faille a été jugée aussi sévère c’est pour les droits et les résultats qu’un pirate obtiendrait s’il venait à l’utiliser.
Comment se prémunir de ces failles ?
Mettez tout simplement à jour le plugin WP Maintenance Mode avec la version 2.0.7. Toutes les versions 2.0.6 ou antérieures sont concernées. Si vous utiliser la version premium de Wordfence, sachez qu’une règle a été ajouté au pare-feu de Wordfence, depuis que Sean Murphy, Sr, developpeur pour Wordfence a découvert ces failles et avertit le développeur de WP Maintenance Mode la semaine dernière.