CVE-2024-1071 Vulnérabilité du plugin WordPress

Une faille de sécurité importante a été révélée dans Ultimate Member, un plugin WordPress largement utilisé avec plus de 200 000 installations actives. Identifiée sous le nom CVE-2024-1071, cette faille a obtenu un score CVSS élevé de 9,8 sur 10 et a été découverte et signalée par le chercheur en sécurité Christiaan Swiers. Comme détaillé dans un récent avis de Wordfence, une société de sécurité WordPress, le plugin (versions 2.1.3 à 2.8.2) est sensible à l'injection SQL via le paramètre « sorting » en raison d'un échappement inadéquat sur les paramètres fournis par l'utilisateur et d'une préparation insuffisante sur la requête SQL existante.

Cette faille pourrait être exploitée par des attaquants non authentifiés pour insérer des requêtes SQL supplémentaires dans les requêtes actuelles, conduisant ainsi à l'extraction de données sensibles de la base de données. Il est crucial de noter que ce problème affecte les utilisateurs qui ont sélectionné l'option « Activer la table personnalisée pour usermeta » dans les paramètres du plugin.

Lors d'une divulgation responsable le 30 janvier 2024, les développeurs du plugin ont rapidement corrigé la vulnérabilité en publiant la version 2.8.3 le 19 février. Il est fortement conseillé aux utilisateurs de mettre à jour rapidement leurs plugins vers la dernière version afin de minimiser les risques potentiels, d'autant plus que Wordfence a déjà contrecarré une attaque tentant d'exploiter la faille au cours des dernières 24 heures.

Il est à noter qu'une vulnérabilité similaire (CVE-2023-3460, score CVSS : 9,8) dans le même plugin a été activement exploitée par des acteurs malveillants en juillet 2023. L'exploitation de cette faille leur a permis de créer des utilisateurs administrateurs non autorisés et de prendre le contrôle de sites vulnérables.

Qu'est-ce que le système d'évaluation unifié CVE pour les vulnérabilités ?

Le Common Vulnerability Scoring System (CVSS) est un système de notation standardisé utilisé pour évaluer et communiquer la gravité des vulnérabilités des systèmes logiciels. Il fournit un cadre commun permettant aux organisations et aux individus d'évaluer l'impact des vulnérabilités de sécurité. Le CVSS est conçu pour être indépendant du fournisseur et est largement adopté dans la communauté de la cybersécurité.

Le CVSS attribue un score numérique aux vulnérabilités en fonction de divers facteurs, notamment l'exploitabilité de la vulnérabilité, l'impact sur la confidentialité, l'intégrité et la disponibilité du système affecté, et si la vulnérabilité nécessite une interaction de l'utilisateur pour être exploitée. Les scores vont de 0 à 10, les scores les plus élevés indiquant des vulnérabilités plus graves.

Le CVSS a connu plusieurs versions, et la dernière version à ma connaissance en janvier 2022 est CVSSv3.1. Elle fournit une évaluation plus fine et plus précise des vulnérabilités par rapport aux versions précédentes.

Le système « Common Vulnerabilities and Exposures » (CVE), en revanche, est une initiative distincte qui attribue des identifiants uniques, appelés identifiants CVE, aux vulnérabilités divulguées publiquement. Le système CVE ne fournit pas à lui seul des scores de gravité. Au lieu de cela, il est souvent utilisé conjointement avec le CVSS pour identifier et évaluer de manière unique les vulnérabilités.