Faille dans WordPress 4.9.6 permettant à un auteur de supprimer un fichier, vidéo mise à jour

Aujourd’hui, Karim El Ouerghemmi a divulgué une faille critique dans WordPress permettant à n’importe quel auteur, éditeur ou administrateur de supprimer n’importe quel fichier d’une installation, dans n’importe quel dossier, sans aucun outil.

En moins de 1 minute, un site peut être détruit. La faille est connue de l’équipe de sécurité de WordPress depuis environ 7 mois mais toujours aucun correctif n’a été publié, voilà pourquoi Karim l’a révélée.

Pourquoi la révéler si c’est critique ?

La réponse est dans la question : car c’est critique  et si un consultant en sécurité peut la trouver, un pirate aussi peut. Nous (moi, vous) devons informer tout le monde de cette vulnérabilité pour montrer à tous que c’est facile de pirater un site WordPress si vous avez un authur/éditeur/admin (autre que vous) sur votre site.

Où est la faille ?

La fonction wp_delete_attachment() est coupable ici :

function wp_delete_attachment( $post_id, $force_delete = false ) {
	⋮
	$meta = wp_get_attachment_metadata( $post_id );
	⋮
	if ( ! empty($meta['thumb']) ) {
		// Don't delete the thumb if another attachment uses it.
		if (! $wpdb->get_row( $wpdb->prepare( "SELECT meta_id FROM $wpdb->postmeta WHERE meta_key = '_wp_attachment_metadata' AND meta_value LIKE %s AND post_id <> %d", '%' . $wpdb->esc_like( $meta['thumb'] ) . '%', $post_id)) ) {
			$thumbfile = str_replace(basename($file), $meta['thumb'], $file);
			/** This filter is documented in wp-includes/functions.php */
			$thumbfile = apply_filters( 'wp_delete_file', $thumbfile );
			@ unlink( path_join($uploadpath['basedir'], $thumbfile) );
		}
	}
	⋮
}

L’appel à unlink() supprimera le fichier contenu dans la méta donnée nommée thumb. Mais comment est remplie cette donnée ? Voyons ça dans /wp-admin/post.php :

⋮
switch($action) {
⋮
	case 'editattachment':
		check_admin_referer('update-post_' . $post_id);
		⋮
		// Update the thumbnail filename
		$newmeta = wp_get_attachment_metadata( $post_id, true );
		$newmeta['thumb'] = $_POST['thumb'];

		wp_update_attachment_metadata( $post_id, $newmeta );
⋮

La méta donnée est juste la valeur brute du champ de formulaire de l’utilisateur, aucune désinfection, aucun filtre, aucun échappement, rien.

Est-ce déjà exploitable ? Facilement ?

Malheureusement oui, en moins de 1 minute une auteur peut supprimer n’importe quel fichier du site comme wp-config.php (un des pires non ?) mais aussi un attaquant pourrait supprimer le fichier principal d’une extension de sécurité afin qu’elle ne se charge plus pour ensuite faire des actions de piratages plus graves. Car disons le, casser un site n’a que peut d’intérêt pour un pirate, mais voler les données, si, le défacer, aussi, le casser non.

Voyons en 55 sec comment ça se passe :

Vous avez peut-être déjà regardé une autre vidéo de cet exploit, utilisant la console JavaScript pour injecter un code hexadecimal pour ajouter et appeler une nouvelle fonction JS et lancer un nouvel appel AJX etc, C’EST BIEN TROP, il suffit de changer 2 valeurs + une dernière qui sera le chemin vers le fichier à supprimer, c’est tout.

Comment sécuriser mon site maintenant ?

Si vous utilisez déjà SecuPress (version free ou pro) 1.4.5.1 ou plus, votre site est déjà sécurisé car nous avons inclus le correctif de Karim suivant (avec un nom de fonction différent afin d’éviter des conflits de code) :

add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );

function rips_unlink_tempfix( $data ) {
    if( isset($data['thumb']) ) {
        $data['thumb'] = basename($data['thumb']);
    }

    return $data;
}

Installez SecuPress maintenant et sécurisez votre site dans la minute !

À propos de Julio Potier Tous les articles de Julio Potier

Créateur de SecuPress et de la Formation LearnWPSecurity, Julio est aussi organisateur du WordCamp Lille.
Orateur compulsif, formateur sénior et ingénieur WordPress, il s’est spécialisé dans la sécurité depuis 2002 et contribue à WordPress sous diverses formes.