Une faille de sécurité de haute gravité a été découverte dans le plugin « Hashthemes Demo Importer » de Wordpress. Elle permet aux attaquants authentifiés de réinitialiser les sites WordPress et de supprimer presque tout le contenu de la base de données et les médias téléchargés.

Ram Gall, ingénieur QA de Wordfence et analyste de menaces, a expliqué que la source du problème réside dans les vérifications de nonce incorrecte, ce qui a fait fuir le nonce AJAX sur le tableau de bord d'administration des sites vulnérables pour tous les utilisateurs, "y compris les utilisateurs à faible privilège comme les abonnés."

Par conséquent, les utilisateurs connectés en tant qu’abonnés peuvent en abuser pour effacer tout le contenu des sites exécutant des versions non corrigées de Hashthemes Demo Importer.

"Alors que la plupart des vulnérabilités peuvent avoir des effets destructeurs, il serait impossible de récupérer un site où cette vulnérabilité a été exploitée, à moins qu'il n'ait été sauvegardé", ajoute Gall.

Tout utilisateur connecté peut déclencher la fonction AJAX hdi_install_demo et fournir un paramètre de réinitialisation défini sur ‘true’, ce qui entraîne l'exécution de la fonction database_reset du plugin. Cette fonction efface la base de données en tronquant toutes les tables du site, à l'exception de wp_options, wp_users et wp_usermeta. Une fois la base de données effacée, le plugin exécute sa fonction clear_uploads, qui supprime tous les fichiers et dossiers de wp-content/uploads. - Ram Gall

Il est à noter que « l'abonné », est un rôle d'utilisateur par défaut de WordPress (tout comme Contributeur, Auteur, Éditeur et Administrateur) souvent activé sur les sites WordPress pour permettre aux utilisateurs enregistrés d'écrire des commentaires dans la section des commentaires du site Web.

De ce fait, les utilisateurs de ce plugin sont invités à le mettre à jour à sa dernière version afin de protéger leurs sites web.