Deux vulnérabilités critiques ont été identifiées dans WP Travel Engine, un plugin de réservation de voyages pour WordPress installé sur plus de 20 000 sites Web. Les deux vulnérabilités permettent à des attaquants non authentifiés d’obtenir un contrôle quasi complet d’un site Web et sont notées 9,8 sur l’échelle CVSS, très proche du score le plus élevé possible pour les failles critiques.
Moteur de voyage WP
Le WP Travel Engine est un plugin WordPress populaire utilisé par les agences de voyages pour permettre aux utilisateurs de planifier des itinéraires, de sélectionner parmi différents forfaits et de réserver tout type de vacances.
Restriction de chemin incorrecte (traversée de chemin)
Le première vulnérabilité vient d’une restriction incorrecte du chemin de fichier dans la fonction set_user_profile_image du plugin
Étant donné que le plugin ne parvient pas à valider les chemins d’accès aux fichiers, des attaquants non authentifiés peuvent renommer ou supprimer des fichiers n’importe où sur le serveur. La suppression d’un fichier tel que wp-config.php désactive la configuration du site et peut permettre l’exécution de code à distance. Cette faille peut permettre à un attaquant de lancer une attaque d’exécution de code à distance depuis le site.
Inclusion de fichiers locaux via le paramètre de mode
Le deuxième vulnérabilité vient d’un contrôle inapproprié du paramètre mode, qui permet aux utilisateurs non authentifiés d’inclure et d’exécuter des fichiers .php arbitraires
Cela permet à un attaquant d’exécuter du code malveillant et d’accéder à des données sensibles. Comme la première faille, elle a un score CVSS de 9,8 et est considérée comme critique car elle permet l’exécution de code non authentifié pouvant exposer ou endommager les données du site.
Recommandation
Les deux vulnérabilités affectent les versions jusqu’à la 6.6.7 incluse. Les propriétaires de sites utilisant WP Travel Engine doivent mettre à jour le plugin vers la dernière version dès que possible. Les deux vulnérabilités peuvent être exploitées sans authentification, une mise à jour rapide est donc recommandée pour empêcher tout accès non autorisé.
Commentaires