Un grave problème de sécurité a été récemment découvert dans le plugin GiveWP de WordPress, utilisé pour la collecte de dons en ligne. Cette vulnérabilité a mis en péril l’intégrité de plus de 100 000 sites, exposant ainsi les données personnelles des donateurs à des risques d’exécution de code à distance et de suppression arbitraire de fichiers.
Si vous êtes administrateur ou donateur utilisant GiveWP, il est crucial de prendre conscience des risques associés à cet outil, qui, au lieu de faciliter la collecte de dons, s’est transformé en un vecteur potentiel de vol de données.
La vulnérabilité a été mise en lumière grâce au programme de primes aux chercheurs de failles (Bug Bounty) de Wordfence, une autorité en matière de sécurité pour WordPress. Le chercheur villu164 a découvert une faille d’injection d’objet PHP dans le plugin, permettant aux cybercriminels d’exécuter du code malveillant à distance et de supprimer des fichiers essentiels sur les serveurs.
Le problème réside dans la manière dont GiveWP utilise la sérialisation des données PHP pour stocker certaines informations. Le manque de validation robuste dans ce processus a permis aux pirates d’injecter un objet PHP malveillant. En exploitant une technique connue sous le nom de « Property Oriented Programming » (POP), les attaquants peuvent prendre le contrôle du serveur et compromettre des fichiers critiques, mettant ainsi en danger l’intégrité des sites.
Cette faille a des conséquences graves, notamment la possibilité pour les cybercriminels de voler des informations personnelles, des coordonnées bancaires et des dons, facilitant des activités telles que le phishing et l’usurpation d’identité. De plus, la suppression de fichiers essentiels peut rendre les sites inaccessibles, entravant la collecte de fonds.
Dès la découverte de la vulnérabilité, le chercheur l’a signalée à l’équipe de Wordfence, qui a validé l’exploit avant de contacter les développeurs du plugin. Face à l’absence de réponse rapide, Wordfence a alerté WordPress.org pour accélérer la mise en place d’un correctif. Le 7 août 2024, la version 3.14.2 de GiveWP, corrigeant complètement la vulnérabilité, a été publiée.
Wordfence recommande vivement aux administrateurs de sites utilisant GiveWP d’installer cette mise à jour pour garantir la sécurité de leurs sites et la protection des données des utilisateurs. Comme le souligne régulièrement Clubic, il est fondamental de maintenir à jour les systèmes d’exploitation, logiciels et applications pour se prémunir contre les cyberattaques.
Source : Security Week
