du 21 août 2018
Date

Choisir une autre édition

À la conférence Black Hat USA début août, le chercheur Sam Thomas a révélé une vulnérabilité ouvrant un large champ de possibilités. Elle réside dans la désérialisation de PHP, destinée à décoder des données, qui permet aussi d'initialiser des classes PHP via une chaine de caractères.

Elle concerne notamment Wordpress, le CMS le plus utilisé dans le monde. L'attaque consiste à créer une archive PHP (Phar), dont on change les 100 premiers octets pour obtenir un fichier JPEG valide. Ce dernier est ensuite mis en ligne sur un blog Wordpress, avec les identifiants d'un utilisateur.

La fonction de Wordpress qui génère les vignettes est ensuite appelée. En tentant de décoder le contenu de cette fausse image (en réalité un fichier Phar), elle exécute les potentiels appels vers les classes PHP présentes dans le logiciel.

La mise en ligne du faux fichier JPEG nécessite d'avoir les droits d'édition sur le blog Wordpress, ce qui passe par un compte Auteur (ou supérieur), dont il faut obtenir les identifiants.

La vulnérabilité a été signalée en février 2017, via la plateforme HackerOne. Elle ne serait pas encore corrigée.

D'autres CMS sont concernés, dont Typo3. Avertis le 9 juin, les développeurs ont rapidement comblé la faille dans les versions 7.6.30, 8.7.17 et 9.3, publiées trois jours plus tard. Pour The Register, le risque n'est pas si élevé que suggéré. La compromission complète du système ne serait pas envisageable par ce biais.

Une faille PHP permet d'exécuter du code via Wordpress
chargement Chargement des commentaires...