Bulletins

Une mise à jour de sécurité forcée pour une faille dangereuse dans un plugin connu déployée par WordPress

bs1.jpg

Les sites WordPress qui se servent du plugin Loginizer ont été mis à jour de force au courant de la semaine vers la version 1.6.4 de Loginizer. Cette version était dotée d’un correctif de sécurité pour une faille d’injection SQL dangereux qui risquerait de permettre aux attaquants de contrôler des sites WordPress exécutant des versions plus anciennes du plugin en question. Loginizer fait partie des plugins WordPress les plus connus du moment, avec une base d’installation de plus d’un million de sites. Ce plugin propose des améliorations de sécurité pour la page de connexion WordPress.

En se basant sur la description officielle, Loginizer peut introduire l’adresse IP sur la liste noire ou bien la liste blanche afin d’avoir accès à la page de connexion WordPress, en ajoutant aussi la prise en charge de l’authentification à deux facteurs ou bien en ajoutant de simples CAPTCHA dans le but de bloquer les tentatives de connexion automatisées, parmi plusieurs autres fonctions.

Au courant de cette semaine, une faille grave dans le plugin Loginizer a été révélée par le chercheur en sécurité Slavco Mihajloski. Ce bug de sécurité serait localisé au niveau du mécanisme de protection par force brute de Loginizer, activé par défaut par tous les sites sur lesquels Loginizer est installé.

Afin d’exploiter cette faille, un pirate peut tenter de se connecter à un site WordPress mal formé où il pourra introduire des instructions SQL. Quand l’authentification ne fonctionne pas, le plugin Loginizer enregistrera cette tentative inefficace dans la base de données du site WordPress, avec le nom d’utilisateur ayant échoué. Mais comme ceci a été expliqué par Slavco et WPScan, le plugin ne nettoie pas le nom d’utilisateur et garde les instructions SQL intactes, permettant aux pirates distants d’exécuter du code contre la base de données WordPress – dans ce que les chercheurs en sécurité appellent une attaque par injection SQL non authentifié.