De multiples vulnérabilités dans un plugin WordPress ont été découvertes en mai par des chercheurs de Wordfence, avec un score CVSS = 9,8. Ces vulnérabilités permettent à un attaquant d'élever ses privilèges d'utilisateur et de télécharger des codes malveillants, ce qui peut l’emmener à prendre le contrôle complet d'un site WordPress.

Le plugin vulnérable est connu sous le nom ProfilePress - anciennement nommé WP User Avatar - qui facilite le téléchargement des images de profil des utilisateurs de WordPress. Il est installé à environ 40 000 fois, selon Wordfence.

La première vulnérabilité (CVE-2021-34621) est une faille d’élévation de privilèges selon les chercheurs de Wordfence. Car lors de l'enregistrement d'un utilisateur, celui-ci pouvait fournir des métadonnées d'utilisateur arbitraires qui étaient mises à jour au cours du processus d'enregistrement. Cela inclut la méta utilisateur wp_capabilities qui contrôle les fonctionnalités et le rôle d'un utilisateur.

La seconde vulnérabilité concerne un bug d’élévation de privilèges (CVE-2021-34622) trouvé dans la fonctionnalité de mise à jour du profil de l'utilisateur, mais ça nécessite que l'attaquant ait un compte sur un site vulnérable pour que l'exploit fonctionne.

Le téléchargement de fichiers arbitraires dans le composant de téléchargement d'images (CVE-2021-34623) est la troisième vulnérabilité de plugin WordPress, le gestionnaire de téléchargement d'images de ProfilePress étant implémenté de manière non sécurisée en utilisant la fonction exif_imagetype pour déterminer si un fichier est sûr ou non. Cela permet à un attaquant de déguiser un fichier malveillant en téléchargeant un fichier usurpé qui contourne la vérification exif_imagetype.

Finalement, CVE-2021-34624 est une vulnérabilité de téléchargement de fichier arbitraire trouvée dans la fonctionnalité "champs personnalisés" du plugin, qui vérifie également les fichiers malveillants, et qui aurait pu être exploitée afin d'obtenir une exécution de code à distance.

Les vulnérabilités critiques ont été signalées à WordPress le 27 mai, et un correctif a été publié. Wordfence a déclaré qu'il "recommande aux utilisateurs de mettre immédiatement à jour la dernière version disponible" de WordPress, actuellement la version 3.1.8. Les versions vulnérables comprennent les versions 3.0 - 3.1.3.

Outre la mise à jour vers la version la plus récente, pour se protéger contre les vulnérabilités, il est recommandé de rechercher tout compte d'utilisateur administratif malveillant en plus de vérifier ou de scanner tout fichier PHP téléchargé dans le répertoire « /wp-content/uploads ». Si des comptes administratifs malveillants ou des fichiers malveillants sont détectés, ils doivent être supprimés immédiatement et un nettoyage complet du site doit être effectué.