WordPress a pris la décision de forcer la mise à jour de l'extension UpdrafPlus afin de corriger une faille de sécurité critique permettant à un utilisateur de récupérer la dernière sauvegarde de la base de données du site : une occasion en or pour récupérer les identifiants admin.

L'extension UpdrafPlus est très populaire et elle permet de réaliser des sauvegardes de son site WordPress, aussi bien des fichiers que de la base de données, que ce soit en local ou à distance sur un espace Cloud ou un serveur FTP, par exemple. Quand je dis qu'elle est très populaire, c'est qu'il y a 3 millions de sites WordPress qui l'utilisent ! Alors, suite à la découverte de cette faille de sécurité, cela représente un nombre important de sites vulnérables.

Associée à la référence CVE-2022-0633, c'est Marc Montpas d'Automattic qui a fait la découverte de cette vulnérabilité le 14 février 2022. Preuve qu'elle est critique, elle hérite d'un score CVSS v3.1 de 8,5. À partir du moment où une personne dispose d'un compte sur le site WordPress, y compris avec le niveau de privilèges le plus faible (rôle "Abonné"), il devient possible de télécharger une sauvegarde du site en l'envoyant par e-mail grâce à l'exploitation de cette vulnérabilité. Au sein de la sauvegarde de la base de données, le pirate aura accès à l'ensemble des comptes utilisateurs du site, ainsi qu'au hash des mots de passe : il suffira de convertir les mots de passe en clair pour récupérer celui du compte admin du site. Pour exploiter cette vulnérabilité, il faut qu'il soit possible de s'inscrire sur le site, et qu'il y ait au moins une sauvegarde existante.

Dès le lendemain de la découverte de la vulnérabilité, une mise à jour était disponible afin de la corriger, puis ensuite, WordPress a pris la décision de forcer la mise à jour vers cette nouvelle version afin de protéger les sites sans attendre. C'est un cas très rare, mais ce choix s'avère pertinent.

Si vous utilisez cette extension, vérifiez qu'elle soit bien à jour ! La vulnérabilité est corrigée dans UpdraftPlus 1.22.3 pour la version gratuite et la version 2.22.3 pour la version payante. La dernière version est la 1.22.4 et je vous recommande de l'installer dès que possible si ce n'est pas déjà fait. Cette vulnérabilité affecte toutes les versions comprises entre 1.16.7 et 1.22.2

• Tutoriel - Comment installer WordPress sur son propre serveur ?

Source

The post WordPress et UpdraftPlus : une vulnérabilité touche 3 millions de sites first appeared on IT-Connect.