Les injections SQL sont toujours d'actualité. Le 17 juillet, WordPress a publié une mise à jour de sécurité d'urgence. La version 7.0.2 corrige une faille d'exécution de code à distance sans authentification dans le cœur de WordPress, qu'un attaquant anonyme peut exploiter sur une installation par défaut ne comportant aucun plugin. Si votre site utilise une version concernée, effectuez la mise à jour dès aujourd'hui. Compte tenu de la gravité de cette faille, WordPress.org a activé les mises à jour automatiques obligatoires pour les sites concernés. Nous suivons cette vulnérabilité dans Aikido .
Adam Kues, de Searchlight Cyber, a signalé cette faille et a publié un outil de vérification sur wp2shell.com vous permettant ainsi de vérifier si votre site est vulnérable. (Le site a toutefois connu des interruptions de service occasionnelles.) L'avis de sécurité publié par l'équipe WordPress décrit ce problème comme une confusion entre les routes de l'API REST et une faille d'injection SQL pouvant conduire à l'exécution de code à distance, le point de terminaison concerné étant situé à l'adresse /wp-json/batch/v1 comme point d'entrée. Selon Searchlight, plus de 500 millions de sites utilisent WordPress ; la population exposée est donc importante.
Il est primordial de disposer de la bonne version. Si vous utilisez Aikido , son pare-feu intégré est conçu pour bloquer l’injection SQL sur laquelle repose cette faille ; ainsi, un site non mis à jour bénéficie d’une protection en temps réel pendant le déploiement de la mise à jour.
Versions impactées
La faille permettant l'exécution de code à distance affecte :
- WordPress 6.9.0 à 6.9.4, corrigé dans la version 6.9.5
- WordPress 7.0.0 à 7.0.1, corrigé dans la version 7.0.2
- WordPress 7.1 bêta, corrigé dans la version 7.1 bêta 2
Les versions antérieures à la 6.9.0 ne sont pas vulnérables à cette faille permettant l'exécution de code à distance (RCE). WordPress 6.8 est exposé à une autre faille d'injection SQL corrigée lors de cette même mise à jour ; les sites fonctionnant sous la version 6.8 doivent donc passer à la version 6.8.6. Les versions antérieures à la 6.8 ne sont concernées par aucune de ces deux failles.
Que faire maintenant
Mettez immédiatement à jour WordPress. La version 7.0.2 contient le correctif, ou la version 6.9.5 si vous utilisez la branche 6.9. La plupart des sites sur lesquels les mises à jour en arrière-plan sont activées recevront cette mise à jour automatiquement, mais il est préférable de vérifier la version dans votre tableau de bord plutôt que de partir d'une hypothèse.
Si vous ne pouvez pas effectuer la mise à jour immédiatement, la note d'information propose quelques mesures provisoires. Vous pouvez installer un plugin qui bloque l'accès non authentifié à l'API REST, bloquer à la fois le chemin /wp-json/batch/v1 et le paramètre de requête rest_route=/batch/v1 sur votre WAF, ou ajoutez un petit plugin obligatoire qui nécessite une authentification sur la route REST de traitement par lots. Chacune de ces solutions peut perturber le trafic légitime de l'API REST ; considérez-les donc comme des mesures provisoires jusqu'à ce que vous appliquiez un correctif.
Cette faille est répertoriée dans Aikido , notre flux en temps réel qui signale les nouvelles vulnérabilités et les nouveaux logiciels malveillants au sein des écosystèmes open source.
protection en temps d’exécution Aikido
Il s'agit de la deuxième faille d'injection SQL détectée dans une même version du cœur de WordPress. Les développeurs affirment depuis des années que le problème de l'injection SQL est résolu, mais celui-ci continue de nous hanter. Il réapparaît régulièrement dans le cœur du logiciel et ses dépendances, et est souvent accessible aux utilisateurs anonymes avant même qu'un correctif ne soit mis en place.
Aikido est un pare-feu intégré qui s'exécute au sein de votre application et inspecte les données saisies par les utilisateurs avant qu'elles n'atteignent votre base de données. Il bloque les injections SQL, les injections de commandes et les traversées de chemin d'accès lors de l'exécution, et s'installe en quelques lignes de code. Zen est conçu pour détecter ce type d'attaque, à savoir les injections SQL provoquées par des données contrôlées par l'attaquant, au moment même où la requête s'exécute. Pour les équipes qui ne peuvent pas appliquer de correctif dès l’apparition d’une faille « zero-day », cette couche d’exécution assure la protection pendant que vous déployez le correctif selon votre propre calendrier.
Commencez par appliquer le correctif. Lancez Zen, afin que la prochaine injection non authentifiée puisse être bloquée.
Suivi des vulnérabilités avec Aikido
Cette faille est suivie dans Aikido , aux côtés des autres problèmes liés au cœur de WordPress corrigés dans cette même version. Intel est un flux en temps réel qui analyse les nouvelles versions publiées dans les écosystèmes open source, y compris WordPress, et met en évidence les vulnérabilités et les logiciels malveillants en quelques minutes, souvent avant même qu’elles n’apparaissent dans les bases de données CVE publiques.

Si vous utilisez déjà Intel, les avis de sécurité WordPress figurent désormais dans votre flux ; vous pouvez ainsi suivre celui-ci et tous les prochains sans avoir à consulter une douzaine de sources différentes. Le flux est accessible gratuitement à l'adresse intel.aikido.dev; il est disponible sous licence open source et via une API commerciale si vous souhaitez intégrer ces données à vos propres outils.

