Publié le 4 avril 2022, modifié le 19 avril 2024 par Lucie Blanchard

Vulnérabilité d’autorisation manquante …permet à un attaquant distant authentifié d’afficher les informations sur la base de données sans l’autorisation d’accès. Ce type de vulnérabilité permet à un attaquant d’accéder au site à des niveaux habituellement réservés aux utilisateurs disposant de privilèges d’administrateur.

    Pour les utilisateurs ACF Pro, cela signifie mettre à jour vers Advanced Custom Fields Pro 5.12.2"
  • Vulnérabilité d'autorisation manquante dans le plugin WordPress Advanced Custom Fields
  • Cette faille permet à des utilisateurs authentifiés avec un certain niveau d'accès d'accéder aux informations de la base de données sans autorisation
  • Plus de 2 millions de sites sont affectés par cette vulnérabilité
  • La faille a été corrigée dans les versions ACF 5.12.1 et ACF Pro 5-12-1/strong>

Plugin WordPress des champs personnalisés avancés (ACF)

Le plugin ACF WordPress est un outil de développement populaire qui permet aux développeurs d’ajouter des champs personnalisés à l’écran d’édition ainsi que de personnaliser les sections pour les utilisateurs, les publications, les médias et d’autres domaines.

L’outil ACF permet aux développeurs d’étendre les thèmes WordPress de plusieurs façons, ce qui explique pourquoi il existe des millions d’installations actives.

Vulnérabilité d’autorisation manquante

Une vulnérabilité d’autorisation manquante se produit lorsqu’un logiciel tel qu’un plugin WordPress ne vérifie pas l’autorisation d’un utilisateur lors de l’accès à des informations spécifiques.

Ce type de vulnérabilité peut entraîner l’exposition d’informations sensibles et des attaques d’exécution de code à distance.

Attaquant authentifié à distance

Cette vulnérabilité particulière exploite une vérification d’autorisation manquante pour les utilisateurs qui ont un certain niveau d’authentification.

Cela signifie que les utilisateurs disposant au moins d’un niveau d’authentification d’éditeur, d’auteur ou de contributeur peuvent accéder aux privilèges de niveau administrateur afin d’afficher les informations de la base de données.

Selon les informations les plus récentes du centre de coordination de l’équipe japonaise d’intervention en cas d’urgence informatique :

« Le plugin WordPress « Advanced Custom Fields » fourni par Delicious Brains contient une vulnérabilité d’autorisation manquante…

Les utilisateurs de ce produit (éditeur, auteur, contributeur) peuvent consulter les informations de la base de données sans autorisation d’accès. »

La base de données nationale des vulnérabilités des États-Unis lui a attribué un numéro de référence CVE, CVE-2022-23183

Journal des modifications ACF

Un journal des modifications est un journal détaillant toutes les modifications apportées à chaque version d’un logiciel.

Il est difficile de dire lesquelles des modifications détaillées dans le journal des modifications sont liées à la correction de la vulnérabilité, car le journal des modifications ACF ne dit pas explicitement que quelque chose est un correctif de sécurité, il les étiquette simplement comme un « correctif ».

Le journal des modifications du plugin ACF WordPress ne note pas explicitement qu’un problème de sécurité a été résolu.

Une partie du journal des modifications ACF indique simplement :

« Correctif – ACF valide désormais l’accès aux valeurs de champ de la page d’options lors de l’accès via les clés de champ de la même manière que les noms de champ. Voir plus
Correction – L’API REST valide désormais correctement les champs pour les demandes de mise à jour POST »

Le lien « Afficher plus » mène à un explicatif sur le site Web d’ACF qui dit :

« … Les appels à get_field() ou the_field() sur les options WordPress non-ACF renverront également null. Cependant, l’utilisation de ces fonctions pour récupérer n’importe quelle méta de publication, d’utilisateur ou de terme renverra la valeur, que la méta soit ou non un champ ACF.

… Dans ACF 5.12.1, ces restrictions s’appliquent désormais correctement lors de l’utilisation d’une clé de champ pour accéder à une valeur d’option, de la même manière que l’utilisation du nom de champ.
« Utilisation des fonctions ACF pour récupérer des données depuis l’extérieur d’ACF. »

La vulnérabilité des champs personnalisés avancés est corrigée

La vulnérabilité ACF affecte toutes les versions antérieures à Advanced Custom Fields 5.12.1 et Advanced Custom Fields Pro 5.12.1.

Le centre de coordination de l’équipe d’intervention d’urgence informatique du Japon recommande à tous les utilisateurs du plug-in de mettre immédiatement à jour les versions ACF 5.12.1.

FAQ

Qu'est-ce que désigne le terme "attributs de la vulnérabilité" ?

Le terme "attributs de la vulnérabilité" désigne un ensemble de caractéristiques ou de facteurs qui rendent une personne ou une communauté plus susceptible d'être affectée par des crises ou des situations critiques. Cela peut inclure des éléments tels que l'âge, le genre, le statut socio-économique, la santé physique et mentale, ainsi que les facteurs environnementaux et politiques. Ces attributs peuvent rendre les individus plus sensibles aux risques et plus difficiles à protéger en cas de situation difficile.

Quelles sont les différentes formes présentes dans les fichiers PDF de vulnérabilités ?

Les fichiers PDF peuvent contenir différentes formes de vulnérabilités, notamment les failles de sécurité, les virus et les malwares. Ces vulnérabilités peuvent être utilisées par des cybercriminels pour accéder à nos données personnelles ou infecter notre ordinateur.

Il est donc important de s'assurer que nos fichiers PDF sont sécurisés et à jour pour éviter tout risque potentiel. Des solutions telles que l'utilisation de logiciels antivirus et la mise à jour régulière des systèmes d'exploitation peuvent contribuer à renforcer la sécurité des fichiers PDF contre ces différentes formes de vulnérabilités.

Existe-t-il une liste recensant les vulnérabilités de WordPress ?

Il existe en effet plusieurs listes recensant les vulnérabilités de WordPress, telles que la base de données CVE (Common Vulnerabilities and Exposures) et le WPScan Vulnerability Database. Ces listes sont régulièrement mises à jour avec les dernières failles de sécurité découvertes dans WordPress.

Il est important pour les utilisateurs de consulter ces listes afin de se tenir informés des potentielles vulnérabilités et de prendre les mesures nécessaires pour protéger leur site.

Categories: SEO

Lucie Blanchard

Lucie Blanchard

S’abonner
Notification pour
guest

Commentaires
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x