duplicated plugins wordpress x

Complications en double dans les plugins WordPress

Lors d'un récent audit des suppléments, nous avons remarqué une tendance étrange parmi les nombreux suppléments chargés d'effectuer une tâche spécifique: la publication d'une page ou d'un article.

Avec une petite étude, nous sommes arrivés à la conclusion suivante: Beaucoup de ces suppléments provenaient de la même source – et contiennent les mêmes faiblesses.

Injections SQL dans des suppléments dangereux

Parlons un instant du modèle de code d'origine dont est issu tout ce scénario: un article de blog de Misha Rudrastyh, écrit en 2013, expliquant comment copier des articles sans l'aide d'une pièce jointe en insérant un peu code sur un sujet function.php fichier.

Le code d'origine était très simple. Composant un peu plus de 100 lignes de code et bien commenté, il avait un problème majeur: une injection SQL dans une table sérialisée.

Quelques années plus tard, ce morceau de code tangible a ensuite été transformé en trois plugins: Duplicate Page et WP Post Page Clone en 2016, et Duplicate Page and Post en 2017.

Tous ces add-ons contiennent la sensibilité de la publication d'origine – qui a été ironiquement mise à jour pour ajuster la sensibilité à la mi-2016, à peine une semaine après la première copie du plugin et avant la sortie des deux autres.

Doubles faiblesses

Un certain nombre d'autres points de vente utilisent également des parties du code et des instructions de la publication pour ajouter leurs fonctionnalités, telles que la liste des services Cherry, les membres de l'équipe Cherry, le bloc de messagerie pour WooCommerce et le cadre de sujet Fog. – dont aucun n'est sensible à cette attaque.

Pendant que nous recherchions les vulnérabilités de ces plugins, nous avons remarqué que Duplikat Page et Post et WP Post Page Clone étaient vulnérables à la même attaque que Duplicate Page.

Bien que Duplicate Page et Post aient été mis à jour avant de les approcher, nous avons contacté WP Post Page Clone afin qu'ils puissent mettre à jour leur plugin. Comme ils n'ont pas répondu à nos multiples efforts sur le terrain, l'équipe du plugin WordPress a dû fermer le plugin 31 mars jusqu'à mise à jour.

Chronologie

  • 17/06/2013 – Misha Rudrastyh publie un article de blog sur la façon de copier un article
  • La version originale de 2013 a la sensibilité que nous avons trouvée l'année dernière sur le site copié
  • 05/04/2016 – Le plugin Duplicate Page est sorti
  • 13/05/2016 – Misha Rudrastyh ajuste probablement la sensibilité de son message après un commentaire qui a mis en évidence l'injection SQL.
  • 11/01/2017 – Publier le plugin Page et Post
  • Copié par tangible double page
  • 10/02/2017 – La pièce jointe du clone WP Post Page Clone est publiée
  • Copié par tangible double page
  • 04/01/2019 – La copie des pages affecte le risque
  • 05/04/2019 – Nous quittons notre blog sur la vulnérabilité
  • 22/02/2020 – Publier des pages et des publications sur les vulnérabilités
  • Aucune mention des mises à jour de sécurité, juste WP General Update
  • 04/03/2020 – Première tentative de contacter le clone de la page WP Post
  • 30/03/2020 – Contacté WordPress pour la sensibilité, après le manque de réponse de son développeur
  • 31/03/2020 – Le plugin est fermé par WordPress

conclusion

L'autorisation autorisée utilisée par WordPress et ses plugins permet de copier et coller facilement des plugins pour leurs fonctionnalités et leurs vulnérabilités. Dans ce cas, les trois plugins ont copié le code source d'une autre source et n'ont jamais vérifié la source d'origine pour des mises à jour de sécurité importantes après leur lancement.

Pour éviter l'exploitation des faiblesses connues, la meilleure solution est de continuer à mettre à jour ses plugins et composants intelligents avec les derniers correctifs. Les propriétaires de sites Web peuvent également utiliser un pare-feu d'application en ligne pour endommager virtuellement les vulnérabilités.