Des pirates exploitent activement la faille zero-day de WordPress
Wordfence, une société spécialisée dans la sécurité de WordPress, a mis en garde contre une vulnérabilité WordPress de type "zero-day" qui est actuellement exploitée par des attaquants.
Le bogue se trouve dans un plugin WordPress appelé BackupBuddy. BackupBuddy est un plugin qui permet aux utilisateurs de sauvegarder l'ensemble de leur installation WordPress depuis le tableau de bord, y compris les fichiers du thème, les pages, les articles, les widgets, les utilisateurs et les fichiers multimédias.
Selon Wordfence, la vulnérabilité est ancrée dans la fonction de copie du répertoire local, qui est conçue pour stocker une copie locale des sauvegardes. La vulnérabilité est le produit d'une implémentation non sécurisée qui permet aux attaquants de télécharger des fichiers arbitraires sur le serveur.
"Cette vulnérabilité permet à des utilisateurs non authentifiés de télécharger des fichiers arbitraires depuis le site affecté, qui peuvent inclure des informations sensibles", a déclaré Wordfence.
Le bogue affectant BackupBuddy est répertorié sous le nom de CVE-3022-31474 et a un degré de gravité de 7.5. Bien que le bogue affecte les versions 8.5.8.0 à 8.7.4.1, il a été corrigé dans la version 8.7. 5, qui a été publiée le 2 septembre 2022.
Wordfence a déclaré que l'exploitation active de CVE-2022-31474 a commencé le 26 août 2022. Depuis lors, la plateforme a pu bloquer près de cinq millions d'attaques, la majorité des intrusions tentant de lire des fichiers tels que /etc/passwd, /wp-config.php, .my.cnf et .accesshash.
Les détails de la vulnérabilité sont restés secrets pour empêcher toute exploitation ultérieure par des attaquants.
"Cette vulnérabilité pourrait permettre à un attaquant de visualiser le contenu de n'importe quel fichier sur votre serveur qui peut être lu par votre installation WordPress. Cela peut inclure le fichier WordPress wp-config.php et, selon la configuration de votre serveur, des fichiers sensibles tels que /etc/passwd", a déclaré le développeur du plugin, iThemes.
Il est conseillé aux utilisateurs de BackupBuddy de passer à la dernière version pour corriger le bug et empêcher qu'il soit compromis par des attaquants. Ceux qui sont déjà compromis doivent réinitialiser le mot de passe de la base de données, changer les sels WordPress et faire tourner les clés API stockées dans wp-config.php.
Les sources de cet article comprennent un article de TheHackerNews.