Les chercheurs en sécurité de RIPS Technologies GmbH ont découvert une faille critique dans WordPress qui, si elle est exploitée, permet une exécution de code arbitraire à distance. Cette faille est présente dans toutes les versions de WordPress depuis 6 ans, révèle en exclusivité The Hacker News.

Pour exploiter la faille, il est toutefois nécessaire de disposer d'un compte avec les droits d'auteur. Le principe est assez simple :

Quand une image est téléchargée dans un WordPress, elle est tout d'abord placée dans le répertoire uploads (wp-content/uploads). WordPress crée en parallèle une référence interne à l'image dans la base de données, afin de garder une trace des méta-informations telles que le propriétaire de l'image ou l'heure du téléchargement.

Ces méta-informations sont stockées sous forme d'entrées Post Meta dans la base de données. Chacune de ces entrées est une paire clé / valeur, affectée à un certain identifiant.

Le problème avec ces entrées Post Meta est qu'il est possible de les modifier et de leur donner n'importe quelle valeur arbitraire lors d'une mise à jour de l'image car WordPress ne fait alors pas de vérification. Ensuite le mécanisme de chargement des images fait que les entrées Post Meta bidouillées peuvent conduire WordPress à télécharger un fichier malicieux distant. (démonstration dans les vidéo ci-dessous). Un billet de blog de RIPS Technologies donne tous les détails techniques concernant cette vulnérabilité.

Cette vulnérabilité est présente dans toutes les versions de WordPress depuis 7 ans. Il se trouve que la correction d'une autre vulnérabilité apportée à partir des versions 4.9.9 et 5.0.1 protège celles-ci de l'attaque telle que démontrée ci-dessous, mais ces versions de WordPress restent toutefois vulnérables si elles accueillent un plugin tiers qui permet de modifier les variables Post Meta.