Une vulnérabilité critique présente parmi plus de 90 000 installations actives du thème Jupiter WordPress permet la prise de contrôle des sites Web cibles.

Bien que les attaquants doivent être authentifiés pour exploiter la faille d’escalade de privilèges, qui a un score CVSS de 9,9, ils n’ont besoin de le faire qu’en tant qu’abonné ou client. Pour les sites Web qui permettent aux utilisateurs de s’auto-enregistrer, cela offre peu de protection contre les attaques potentielles.

Le bogue, ainsi qu’une autre vulnérabilité de gravité élevée et un trio de failles de gravité moyenne, ont été corrigés par le développeur du thème, ArtBees, selon un article de blog publié le mercredi 18 mai par Wordfence.

Dans un article de blog publié mercredi, « Plugin Vulnerabilities » a affirmé avoir vu des preuves que des pirates cherchaient déjà des installations vulnérables et que certains sites Web avaient probablement déjà été piratés.

Répartition des bogues

Le bogue d’escalade de privilèges (CVE-2022-1654), qui affecte le thème Jupiter et le plug-in JupiterX Core, réside dans le modèle de désinstallation une fonction.

Étant donné que les versions vulnérables enregistrent des actions AJAX mais ne parviennent pas à effectuer des vérifications de capacité ou (cryptographiques) nonce, « tout utilisateur connecté peut élever ses privilèges à ceux d’un administrateur en envoyant une requête AJAX avec le paramètre d’action défini sur abb_uninstall_template», a expliqué le chercheur de Wordfence, Ram Gall, qui a découvert les failles.

« Cela appelle le modèle de désinstallation fonction, qui appelle la fonction resetWordpressDatabase, où le site est effectivement réinstallé avec l’utilisateur actuellement connecté en tant que nouveau propriétaire du site ».

De plus, « la même fonctionnalité est également accessible en envoyant une requête AJAX avec le paramètre d’action défini sur jupiterx_core_cp_uninstall_template”.

Le problème de gravité élevée (score CVSS 8.1), un problème de traversée de chemin authentifié et d’inclusion de fichiers locaux, « pourrait permettre à un attaquant d’obtenir des informations privilégiées, telles que des valeurs nonce, ou d’effectuer des actions restreintes, en incluant et en exécutant des fichiers à partir de n’importe quel emplacement sur le site ».

Suivie sous le nom de CVE-2022-1657, la vulnérabilité affecte les thèmes JupiterX et Jupiter.

Le trio de gravité moyenne comprend une paire de problèmes de contrôle d’accès insuffisants conduisant à la désactivation arbitraire authentifiée du plug-in, l’un entraînant également la modification des paramètres (CVE-2022-1656) et l’autre suivi comme CVE-2022-1658. Le troisième pose un problème de divulgation et de modification d’informations, plus un déni de service (DoS) (CVE-2022-1659).

Mises à jour

Wordfence a informé ArtBees de tous les défauts sauf un le 5 avril 2022, et des versions partiellement corrigées ont été publiées le 28 avril.

ArtBees a été alerté de la vulnérabilité finale le 3 mai et a publié des versions entièrement corrigées le 10 mai.

Les problèmes ont été résolus dans Jupiter Theme version 6.10.2, JupiterX theme version 2.0.7 et JupiterX Core version 2.0.8.