Aller au contenu

Pourquoi la faille de sécurité du plugin MP3 Audio Player est préoccupante

  • par

Le 4 août 2024, une vulnérabilité critique de suppression arbitraire de fichiers a été découverte dans le plugin WordPress MP3 Audio Player – Music Player, Podcast Player & Radio par Sonaar. Affectant plus de 20 000 sites, cette faille permet à des attaquants authentifiés, même avec des permissions minimales comme celles des abonnés, de supprimer des fichiers critiques tels que wp-config.php. Cette action peut entraîner une exécution de code à distance.

Résumé de la vulnérabilité

Le plugin MP3 Audio Player – Music Player, Podcast Player & Radio par Sonaar, dans ses versions jusqu’à 5.7.0.1, souffre d’une absence de vérification d’autorisation dans la fonction removeTempFiles(). Cela permet aux attaquants authentifiés de supprimer des fichiers arbitraires, rendant possible l’exécution de code à distance lorsque le fichier wp-config.php est supprimé.

Analyse technique

Le plugin MP3 Audio Player permet aux propriétaires de sites de télécharger et d’héberger un lecteur audio sur leur site WordPress. Une fonctionnalité du plugin permet de télécharger des fichiers de pics audio, mais la suppression de ces fichiers temporaires a été implémentée de manière non sécurisée. Deux failles majeures ont été identifiées dans la fonction removeTempFiles() : l’absence de vérification d’autorisation et une validation insuffisante du paramètre ‘file’.

Cette fonction est accessible via une action AJAX de WordPress, ce qui la rend disponible pour tous les utilisateurs authentifiés, indépendamment de leurs privilèges. Bien qu’une vérification de nonce soit présente, elle peut être contournée par des utilisateurs authentifiés ayant accès au tableau de bord wp-admin.

Conséquences potentielles

Les vulnérabilités de suppression arbitraire de fichiers sont graves dans WordPress. Lorsqu’elles sont présentes, un attaquant peut supprimer le fichier wp-config.php, ce qui fait que WordPress traite l’instance comme une nouvelle installation. L’attaquant peut alors accéder à la page de configuration de WordPress, connecter sa propre base de données au site pour diffuser du spam, et infecter davantage le système de fichiers en installant des plugins malveillants ou en utilisant les éditeurs de plugins/thèmes pour injecter des portes dérobées.

Rappel pour les développeurs

Cette vulnérabilité rappelle l’importance de ne pas utiliser les nonces comme mécanisme de protection pour l’autorisation. Les développeurs doivent utiliser des vérifications de capacité comme current_user_can() pour valider correctement si un utilisateur est autorisé à effectuer une action spécifique. Les nonces ne devraient être utilisés que pour la protection contre les falsifications de requêtes intersites et pour vérifier qu’un utilisateur a l’intention d’effectuer une action spécifique.

Les étapes de divulgation et la résolution

  • 4 août 2024 : Réception de la soumission pour la vulnérabilité.
  • 15 août 2024 : Validation du rapport et confirmation de l’exploit.
  • 16 août 2024 : Envoi des détails de divulgation complète au fournisseur.
  • 27 août 2024 : Publication de la version corrigée 5.7.1 du plugin.

Ce qu’il faut retenir

Cette vulnérabilité permet à des acteurs malveillants authentifiés, disposant de permissions au niveau abonné ou supérieur, de supprimer des fichiers arbitraires sur le serveur, pouvant être exploitées pour exécuter du code à distance et compromettre entièrement le site. La vulnérabilité a été corrigée dans la version 5.7.1 du plugin.

Nous encourageons les utilisateurs de WordPress à vérifier que leurs sites sont mis à jour avec la dernière version corrigée du plugin MP3 Audio Player – Music Player, Podcast Player & Radio par Sonaar. Cette mise à jour est cruciale compte tenu de la nature critique de cette vulnérabilité.

Questions fréquentes

  1. Qu’est-ce qu’une vulnérabilité de suppression arbitraire de fichiers ? C’est une faille qui permet à un attaquant de supprimer n’importe quel fichier sur le serveur, ce qui peut entraîner des conséquences graves comme l’exécution de code à distance.
  2. Comment cette vulnérabilité affecte-t-elle les sites WordPress ? Elle permet à des utilisateurs malveillants de supprimer des fichiers critiques, compromettant ainsi la sécurité du site.
  3. Quelles versions du plugin sont affectées ? Toutes les versions jusqu’à 5.7.0.1 incluses.
  4. Comment puis-je protéger mon site ? Assurez-vous que votre plugin est mis à jour vers la version 5.7.1 ou ultérieure.
  5. Pourquoi est-il important de ne pas utiliser les nonces pour le contrôle d’accès ? Parce que les nonces ne vérifient pas les autorisations des utilisateurs, ils ne protègent pas contre les actions non autorisées.