WordPress Duplicator permettrait l'exploitation de certaines instances WordPress pour exécuter du code à distance

WordPress Duplicator est un module permettant de migrer ou de cloner un site WordPress vers un autre serveur sans interruption. Ce module Wordpress ne supprime pas certains fichiers sensibles après le processus de restauration. En effet, les fichiers installer.php et installer-backup.php peuvent être réutilisés après le processus de restauration pour injecter du code PHP malveillant dans le fichier wp-config.php. Ainsi, un attaquant pourrait abuser de ces scripts pour exécuter du code arbitraire sur le serveur et en prendre le contrôle à distance. 

Une exploitation réussie pourrait permettre d'effacer le contenu du fichier de configuration de WordPress et, par conséquent, d'altérer l'intégrité ou de rendre indisponible l'instance en question.

Informations
+

Risque

  • Exécution de code à distance

Criticité

  • CVSS v3 : En cours d'analyse

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
  • Cependant, une augmentation du nombre de désactivations de site WordPress par suppression ou réécriture du fichier wp-config.php a été détectée. La société Sucuri affirme que ces désactivations sont toutes liées à l'usage du module WordPress Duplicator.

Composants & versions vulnérables

  • Plugin WordPress Duplicator versions antérieures à 1.2.40

CVE

  • Non référencée

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir de la version 1.2.42

Solution de contournement

  • Pour réduire le risque d'exploitation, il est conseillé de veiller à ce qu'au moins une des conditions suivantes ne soit pas remplie :
    • Le fichier installer.php doit avoir été généré par le plugin Duplicator
    • Le fichier installer.php doit se situer dans le répertoire racine du site
    • La version du programme d'installation doit être antérieure à 1.2.42