Plugin Widget Options <= 4.0.7 – Vulnérabilité critique d'RCE authentifiée (CVE-2024-8672)

ISGroup Cybersecurity

Une vulnérabilité critique d’exécution de code à distance (RCE) (CVE-2024-8672) a été identifiée dans l’extension Widget Options – The #1 WordPress Widget & Block Control Plugin, qui compte plus de 100 000 installations actives dans le monde. La vulnérabilité permet aux utilisateurs disposant de privilèges de type contributeur ou supérieurs d’exécuter du code arbitraire sur les sites WordPress concernés. La large diffusion de cette extension sur de nombreux sites web augmente considérablement le risque d’exploitation, avec des compromissions potentielles de données sensibles et de l’intégrité du système.

Produitwp-query-console
Date02/12/2024 10:00:25
Informations
  • Tendance
  • Correctif disponible

Résumé technique

La CVE-2024-8672 affecte toutes les versions de l’extension Widget Options jusqu’à la version 4.0.7, en exploitant la fonctionnalité de logique d’affichage (display logic) de l’extension. Le problème provient d’une gestion inappropriée des entrées fournies par les utilisateurs, qui sont transmises à la fonction eval() sans assainissement adéquat ni restrictions basées sur les rôles.

Détails clés :

Prérequis pour l’exploitation : L’attaquant doit disposer au minimum de privilèges de type contributeur. Méthode d’attaque : En injectant du code malveillant dans les paramètres de logique d’affichage, l’attaquant peut exécuter arbitrairement du code PHP sur le serveur, conduisant à la compromission totale du site. Réponse du fournisseur : Le fournisseur a publié un correctif dans la version 4.0.8, mais celui-ci n’inclut pas de mesures de renforcement suffisantes, telles que la limitation de l’exécution aux rôles de confiance ou la définition d’une liste blanche de fonctions autorisées, laissant ainsi subsister certains risques résiduels.

Cette vulnérabilité est classée comme Critique avec un score CVSS de 9.9.

Versions concernées :

  • Versions de l’extension Widget Options 4.0.7 et antérieures.

Recommandations

  1. Mettre à jour l’extension :
    Effectuez la mise à jour vers la version 4.0.8 ou ultérieure pour appliquer le correctif du fournisseur.

  2. Vérifier les rôles utilisateur :
    Révisez et limitez les privilèges des contributeurs pour éviter les accès non nécessaires aux paramètres de logique d’affichage.

[Callforaction-THREAT-Footer]