Deux failles de sécurité critiques affectant la protection anti-spam, l’anti-spam et le plugin FireWall WordPress pourraient permettre à un attaquant non authentifié d’installer et d’activer des plugins malveillants sur des sites sensibles et potentiellement d’exécuter du code à distance.
Les vulnérabilités, suivies comme CVE-2024-10542 et CVE-2024-10781ont un score CVSS de 9,8 sur un maximum de 10,0. Ils ont été résolus dans les versions 6.44 et 6.45 publiées ce mois-ci.
Installé sur plus de 200 000 sites WordPress, le plugin de protection anti-spam, anti-spam et FireWall de CleanTalk est annoncé en tant que « plugin anti-spam universel » qui bloque les commentaires, les inscriptions, les enquêtes et bien plus encore.
Selon Wordfence, les deux vulnérabilités concernent un problème de contournement d’autorisation qui pourrait permettre à un acteur malveillant d’installer et d’activer des plugins arbitraires. Cela pourrait alors ouvrir la voie à l’exécution de code à distance si le plugin activé est lui-même vulnérable.
Le plugin est « vulnérable à l’installation arbitraire non autorisée de plugins en raison d’une vérification de valeur vide manquante sur la valeur ‘api_key’ dans la fonction ‘perform’ dans toutes les versions jusqu’à la 6.44 incluse », a déclaré le chercheur en sécurité István Márton. ditfaisant référence à CVE-2024-10781.
En revanche, CVE-2024-10542 provient d’un contournement d’autorisation via reverse DNS spoofing sur la fonction checkWithoutToken().
Quelle que soit la méthode de contournement, l’exploitation réussie de ces deux lacunes pourrait permettre à un attaquant d’installer, d’activer, de désactiver ou même de désinstaller des plugins.
Il est conseillé aux utilisateurs du plugin de s’assurer que leurs sites sont mis à jour avec la dernière version corrigée pour se protéger contre les menaces potentielles.
Cette évolution intervient alors que Sucuri l’a prévenu multiple campagnes qui exploitent des sites WordPress compromis pour injecter du code malveillant responsable de rediriger les visiteurs du site vers d’autres sites via de fausses publicités, écrémage des informations de connexionainsi que supprimer les logiciels malveillants qui capture les mots de passe administrateur, redirige vers les sites frauduleux VexTrio Viper et exécute du code PHP arbitraire sur le serveur.