Une faille dans un plugin WordPress populaire met en danger des millions de sites web. En exploitant la vulnérabilité, un pirate peut facilement prendre le contrôle d’un site à l’insu de l’administrateur.
Plus de six millions de sites WordPress sont vulnérables aux attaques, rapporte Bleeping Computer. Relayant les découvertes du développeur Patchstack Rafie Muhammad, le média révèle l’existence d’une faille de sécurité au sein de LiteSpeed Cache, un plugin WordPress. Celui-ci est conçu pour optimiser les performances des sites web, en particulier ceux qui fonctionnent sur des serveurs LiteSpeed.
Une faille dans un plugin WordPress très populaire
Massivement adopté par les sites sur WordPress, le plugin peut automatiquement compresser et optimiser les images afin de réduire leur taille et d’améliorer les temps de chargement des pages. Il dispose aussi d’une foule d’autres fonctionnalités d’optimisation. Simple, efficace et facile à configurer, le plugin « de mise en cache le plus populaire de l’écosystème WordPress » met désormais en danger des millions de sites, explique Rafie Muhammad.
Le développeur a découvert une vulnérabilité dans la fonction de journalisation de débogage du plugin, qui permet de suivre et d’analyser le comportement de LiteSpeed, ainsi que d’identifier des problèmes potentiels. Cette option enregistre tous les en-têtes de réponse HTTP. Ceux-ci contiennent des informations sensibles telles que des cookies de session ou d’authentification.
En interceptant ces données, un hacker est capable de se faire passer pour un administrateur et prendre le contrôle du site web.
In fine, la brèche laisse un attaquant s’emparer sans trop d’effort d’un site WordPress dont il ne dispose pas des accès. Il lui suffit en effet de se rendre sur le fichier journal de débogage, qui n’est pas toujours protégé par des restrictions d’accès. Dans certains cas, celui-ci est stocké dans un répertoire accessible publiquement sur le serveur. Un attaquant peut simplement entrer l’URL correspondante dans un navigateur pour y accéder.
Un correctif a été déployé
Fort heureusement, les développeurs de LiteSpeed Cache n’ont pas tardé à corriger le tir. La version 6.5.0.1 du plugin, déployée peu après la découverte de la faille, apporte des changements dans la gestion du journal de débogage. Ce document est désormais stocké à un emplacement dédié et sécurisé. Par ailleurs, l’option qui enregistre les cookies a tout simplement été supprimée.
On invite évidemment tous les administrateurs concernés à installer la dernière itération du plugin dans les plus brefs délais.
Malheureusement, et sans grande surprise, peu d’administrateurs ont d’ores et déjà pris la peine d’installer le correctif. WordPress indique que moins de 400 000 personnes ont installé le correctif. Des millions de sites sont donc toujours vulnérables.
C’est loin d’être la première fois qu’un plugin WordPress souffre d’une vulnérabilité mettant en danger des milliers de sites.
Il y a quelques mois, des milliers de sites propulsés par WordPress avaient été piratés à cause d’une faille de sécurité au sein de Popup Builder, un plugin qui permet de créer des popups personnalisables et adaptés aux smartphones. La brèche a été exploitée à plusieurs reprises avant qu’une mise à jour soit déployée.
Bleeping Computer