Une vulnérabilité d’exécution de code à distance a été découverte dans le plug-in Disqus pour WordPress, un service de commentaire et de discussion. Ce plug-in est utilisé par environ 1,3 millions de sites WordPress, ce qui en fait un des plug-ins les plus populaires.

L’équipe sécurité de la société Sucuri a découverte cette vulnérabilité critique en analysant le parser JSON personnalisé du plug-in Disqus, et, les membres de l’équipe ont trouvés que la fonction de parsing pouvait autoriser quelqu’un à exécuter des commandes sur le serveur en utilisant la fonction PHP eval() qui était codée de façon non sécurisée.

Qui est vulnérable ?

Vous êtes concernés si vous utilisez :

- PHP version 5.1.6 ou plus ancien
- WordPress 3.1.4 ou plus ancien
- Plug-in Disqus 2.75 ou plus ancien

Comment exploiter cette faille ?

Pour une exploitation réussie, le hacker peut envoyer son propre payload, par exemple {${phpinfo()}} comme un commentaire que l’on enverra sur la page cible, et, ensuite il suffit d’ouvrir l’adresse de synchronisation de commentaire en ciblant l’ID de l’article cible afin de tirer profit de la vulnérabilité.

http://somesite.com/?cf_action=sync_comments&post_id=TARGET_POST_ID

Comment corriger la vulnérabilité ?

Il est fortement recommandé de mettre à jour WordPress, d’utiliser une version de PHP aussi récente que possible et de mettre à jour Disqus vers la version 2.76.

Source