Deux failles de sécurité ont été découvertes dans la bibliothèque de modèles Gutenberg & Plugin Redux Framework pour WordPress, CVE-2021-38312 et CVE-2021-38314. Découvert par les chercheurs de Defiant, les vulnérabilités pourraient affecter plus d'un million sites WordPress exécuter le plugin.
Les deux failles affectent les versions du plugin antérieures à la version 4.2.11. Afin d'éviter tout compromis, les utilisateurs de la bibliothèque de modèles Gutenberg doivent installer la version 4.2.13, qui est la version entièrement corrigée.
Heureusement, l'éditeur du plugin, Redux.io, a répondu presque immédiatement à la découverte des chercheurs. Suite à la réponse rapide, Defiant a fourni une divulgation complète le même jour, en août 3, 2021.
CVE-2021-38312 et CVE-2021-38314 dans la bibliothèque de modèles Gutenberg & Cadre de redux
La première vulnérabilité, CVE-2021-38312, pourrait autoriser les utilisateurs avec des autorisations inférieures, tels que les contributeurs, pour installer et activer des plugins arbitraires et supprimer toute publication ou page via l'API REST.
Le défaut est noté 7.1 selon l'échelle CVSS, le rendant sévère dans son impact. Cela découle de l'utilisation par le plugin de l'API REST WordPress, qui n'autorise pas correctement les autorisations. « Alors que les points de terminaison de l'API REST enregistrés sous la route redux/v1/templates/REST utilisaient un permission_callback pour vérifier les autorisations d'un utilisateur, ce rappel a seulement vérifié si l'utilisateur envoyant la demande avait ou non la capacité edit_posts," Defiant expliqué.
En termes simples, les utilisateurs avec des autorisations inférieures peuvent installer n'importe quel plugin dans le référentiel WordPress en utilisant redux/v1/templates/plugin-install point final, ou supprimer tout message via le redux/v1/templates/delete_saved_block.
La deuxième vulnérabilité, CVE-2021-38314, pourrait permettre à des attaquants non authentifiés d'accéder à des informations potentiellement sensibles concernant la configuration d'un site. La note du bogue est 5.3 à l'échelle CVSS.
La faille est basée sur plusieurs actions AJAX disponibles pour les utilisateurs non authentifiés, dont l'un est déterministe et prévisible, permettant ainsi aux acteurs de la menace de découvrir ce que serait le $support_hash d'un site.
"Cette action AJAX $ support_hash, qui était également disponible pour les utilisateurs non authentifiés, appelé la fonction support_args dans redux-core/inc/classes/class-redux-helpers.php, qui a renvoyé des informations potentiellement sensibles telles que la version PHP, plugins actifs sur le site et leurs versions, et un hachage md5 non salé des AUTH_KEY et SECURE_AUTH_KEY du site,» Les chercheurs ont expliqué.
Il est fortement recommandé que tous les utilisateurs de plugins mettent immédiatement à jour vers la dernière version disponible, 4.2.14 à partir de cette écriture.