Une vulnérabilité critique a été identifiée dans le thème “Motors” pour WordPress, affectant les versions 5.6.67 et antérieures. Ce défaut permet à un attaquant, sans avoir besoin d’accéder au site ni de posséder une quelconque autorisation, de modifier le mot de passe de n’importe quel utilisateur sur un site web concerné, y compris les administrateurs. L’exploitation réussie de cette vulnérabilité pourrait conférer à l’attaquant le contrôle total du site, lui permettant d’en modifier le contenu, de voler des informations sensibles ou d’installer des logiciels malveillants.
| Produit | motors |
| Date | 29/05/2025 17:15:24 |
| Informations |
|
Résumé technique
Le thème WordPress Motors, jusqu’à la version 5.6.67 incluse, est vulnérable à une élévation de privilèges sans authentification (CVE-2025-4322), classée comme CWE-620 (Modification de mot de passe non vérifiée). La vulnérabilité réside dans le mécanisme de mise à jour du mot de passe depuis le front-end, accessible via des points de terminaison (endpoints) tels que /loginregister/, /login/ ou /register/.
Un attaquant non authentifié peut créer une requête HTTP POST spécifique adressée à l’un de ces points de terminaison. La requête doit inclure l’user_id du compte cible, une nouvelle valeur de mot de passe pour le paramètre stm_new_password et un paramètre hash_check. Le code du thème ne valide correctement ni le paramètre hash_check, ni l’identité et l’autorisation de l’utilisateur effectuant la requête. Cela permet à l’attaquant de fournir une valeur arbitraire ou facilement contournable pour hash_check (ex. %C0).
En raison de l’absence d’une authentification robuste, d’une validation de nonce ou d’une vérification de propriété liée à l’user_id avant le traitement de la modification du mot de passe, le système met à jour aveuglément le mot de passe pour l’user_id spécifié. Cela permet à un attaquant de réinitialiser le mot de passe de n’importe quel utilisateur, y compris les administrateurs, obtenant ainsi un accès administratif non autorisé et le contrôle total de l’installation WordPress. L’attaque ne nécessite aucune authentification préalable et peut être difficile à détecter sans une surveillance active des journaux (logs).
Recommandations
- Mise à jour immédiate : L’étape la plus importante consiste à mettre à jour le thème Motors vers la version correcte et la plus récente (supérieure à 5.6.67) dès que possible. Le fournisseur a publié un correctif qui résout le problème.
- Virtual Patching (WAF) : S’il n’est pas possible de mettre à jour immédiatement, implémentez des règles de pare-feu d’application web (WAF) pour bloquer ou surveiller les requêtes POST malveillantes vers les points de terminaison vulnérables (ex.
/loginregister/). En particulier, les règles doivent cibler les requêtes qui incluent les paramètresuser_idetstm_new_passwordsans authentification de session appropriée ou provenant de sources non fiables.
[Callforaction-THREAT-Footer]
Leave a Reply