WP2Shell – La faille qui permet de pirater WordPress sans aucun plugin
Vous avez un site sous WordPress ? Alors lâchez tout ce que vous faites deux minutes, parce que là c’est du sérieux !!
Cette nouvelle attaque baptisée WP2Shell permet de compromettre une installation WordPress sans passer par le moindre plugin. Heureusement, un patch est sorti en urgence le 17 juillet !
En temps normal, quand une alerte sécu tombe sur WordPress, le fautif c’est un
, un truc installé un soir de flemme et oublié depuis des lustres. Mais cette fois, rien de tout ça puisque le trou de sécu se trouve dans le cœur de WordPress lui-même.
Dans le détail, WP2Shell enchaîne deux failles. La première,
, est une confusion de route dans l’API REST batch, sur l’endpoint /wp-json/batch/v1. La seconde,
, est une injection SQL bien planquée dans le paramètre author__not_in de WP_Query. Chacune dans son coin, c’est déjà vilain, mais mises bout à bout, elles offrent une exécution de code à distance.
Pas de compte, pas de mot de passe, et encore moins de plugin exotique mais simplement quelques requêtes HTTP et hop, c’est plié !
Côté versions, la chaîne complète touche WordPress 6.9.0 à 6.9.4 et 7.0.0 à 7.0.1. Si votre site est dans cette fourchette, vous êtes donc exposé. Les correctifs sont arrivés avec les versions 6.9.5 et 7.0.2. Et si vous vous traînez encore une vieille 6.8.x, sachez que seule l’injection SQL vous concerne potentiellement mais qu’elle a été patchée depuis la version 6.8.6.
Derrière cette trouvaille, on trouve Adam Kues, chercheur chez
(une branche de Searchlight Cyber), qui a assemblé et documenté toute la chaîne avant de la remonter proprement via le programme HackerOne de WordPress. Les détails techniques les plus croustillants restent sous le coude le temps que la planète patche mais l’équipe a mis en ligne un outil,
, pour vérifier si votre site est vulnérable. Allez-y, ça coûte rien !
Autre signal qui ne trompe pas, WordPress.org a déclenché les mises à jour automatiques forcées sur les sites concernés. Une mesure réservée aux failles vraiment graves, comme à l’époque où la
faille critique de Really Simple Security
avait exposé des millions de sites. Il y a donc de bonnes chances que votre installation toute pourrie dont vous ne vous occupez pas parce que vous êtes un mauvais webmaster ^^ ait déjà été rustinée toute seule. Vraiment, vous ne méritez pas les équipes sécu de WordPress ^^
Mais ne pariez pas votre site là-dessus non plus… Car si vous avez désactivé les mises à jour auto (et beaucoup d’hébergeurs et d’admins le font), personne n’aura rien poussé chez vous. Sans oublier
circule déjà sur GitHub (les chercheurs gardent pour eux le dernier maillon vers la RCE, mais ça n’arrêtera pas longtemps les motivés), et les scans automatisés ont commencé.

En attendant de patcher, bloquez surtout donc l’accès anonyme à l’endpoint batch de l’API REST via votre WAF ou votre plugin de sécu. Attention, pas seulement la forme /wp-json/batch/v1 : sa variante ?rest_route=/batch/v1 doit sauter aussi, sinon autant laisser la clé sur la porte. Cloudflare propose d’ailleurs des règles toutes prêtes. Et pour durcir le reste de votre config,
reste d’actualité.
En tout cas, quand on sait qu’il y a +500 millions de sites actuellement propulsés par WordPress, même s’ils ne sont pas tous concernés par cette faille, ça reste une surface d’attaque gigantesque !!
Bref, filez vérifier votre version. Sous 6.9.5 ou 7.0.2, vous mettez à jour et vous bloquez le batch en attendant. Deux minutes chrono, et votre site dort tranquille !
Source :

Leave a Comment