5/5 - (1 vote)

Une faille zero-day découverte dans WordPress.

Une faille zero-day dans le mécanisme de réinitialisation de MdP de WordPress pourrait permettre à des attaquants de prendre le contrôle.

L’expert en sécurité polonais Dawid Golunski a découvert une faille zero-day dans le mécanisme de réinitialisation de mot de passe WordPress qui permettrait à un attaquant d’obtenir le lien de réinitialisation du mot de passe dans certaines circonstances.

Le chercheur a publié ses résultats mercredi après avoir signalé la faille à l’équipe de sécurité de WordPress en juillet dernier.

Dix mois plus tard, le correctif de sécurité n’étant toujours pas disponible, Golunski a décidé de se tourner vers le public et d’informer les propriétaires de site WordPress de ce problème afin qu’ils puissent protéger leurs sites par d’autres moyens.

Toutes les versions de WordPress, y compris les dernières, 4.7.4, sont vulnérables, a déclaré le chercheur. Répertoriée CVE-2017-8295, la vulnérabilité réside dans le fait que WordPress utilise ce que Golunski appelle des données non fiables par défaut lors de la création d’un email de réinitialisation de mot de passe.

Dans une PoC, Golunski souligne que WordPress utilise une variable, SERVER_NAME, pour obtenir le nom d’hôte pour créer un en-tête From/Return-Path pour l’email de réinitialisation de mot de passe. Étant donné que cette variable, par sa nature, peut être personnalisée, un attaquant pourrait insérer un domaine de son choix et l’obliger à envoyer un courrier sortant à une adresse malveillante, indique le chercheur. L’attaquant recevrait alors le courrier électronique de réinitialisation et pourrait modifier le mot de passe du compte et prendre la relève. [Lire la suite sur developpez.com]


Dans le domaine de la sécurité informatique, une vulnérabilité Zero-Day (en français : Jour zéro) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive. La terminologie Zero Day ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique exploitant cette faille afin de conduire des actions indésirables sur le produit concerné.
Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.

A propos de l'auteur

Retour en haut