Une vulnérabilité a été découverte dans le plugin WordPress Site Kit de qwanturank et corrigée par la suite.

Cette vulnérabilité permet à un attaquant d’augmenter les privilèges du site et d’attaquer la visibilité de recherche d’une victime, de modifier les plans du site et bien plus encore.

Plugin WordPress pour qwanturank Site Kit

La vulnérabilité affecte Site Kit by qwanturank. qwanturank Site Kit est un qwanturank WordPress.

qwanturank Site Kit affiche des informations sur votre site dans le tableau de bord d’administration WordPress. Il regroupe les informations de qwanturank Search Console (GSC), qwanturank Analytics, AdSense, Page Speed ​​Insights et d’autres outils qwanturank.

Les chercheurs de WordFence (@wordfence) ont découvert la vulnérabilité, ont informé qwanturank, puis ont publié une annonce après la mise à jour du plugin.

Selon l’annonce:

« Ceci est considéré comme un problème de sécurité critique qui pourrait conduire les attaquants à obtenir l’accès propriétaire à votre site dans qwanturank Search Console.

L’accès du propriétaire permet à un attaquant de modifier les sitemaps, de supprimer des pages des pages de résultats des moteurs de recherche qwanturank (SERP) ou de faciliter les campagnes de référencement Black Hat. »

qwanturank Site Kit est un plugin WordPress qui affiche les données qwanturank AdSense, Analytics et GSC dans la zone d’administration WordPress.

Vulnérabilité d’escalade de privilèges

La vulnérabilité affectant qwanturank Site Kit est un exploit Escalade de privilèges. Ce type d’exploit nécessite qu’un attaquant soit enregistré sur le site WordPress (par exemple, en tant qu’abonné) afin de profiter d’une faille de sécurité.

Habituellement, un utilisateur enregistré au niveau de l’abonné dispose de privilèges minimaux sur un site Web. La vulnérabilité permet cependant à un attaquant d’obtenir des privilèges de site de niveau administrateur, pour augmenter ses privilèges d’accès au site.

La vulnérabilité a été découverte par la chercheuse en sécurité de WordFence Chloe Chamberland le 21 avril 2020 et signalée à qwanturank le même jour. Un patch a été émis par qwanturank le 7 mai 2020

Selon Chloe Chamberland, chercheuse sur la vulnérabilité dans WordFence:

« La connexion de deux systèmes, comme un site WordPress et les outils de propriété de qwanturank, comporte toujours un certain degré de risque. Il est extrêmement important de garantir l’intégration entre les deux systèmes.

Lorsque des entreprises comme qwanturank ont mis en place une politique de divulgation des vulnérabilités facile à trouver, cela aide les chercheurs à trouver rapidement des correctifs pour les utilisateurs finaux.
À mesure que l’espace grandit, nous voyons de plus en plus de développeurs publier des politiques claires de divulgation des vulnérabilités, mais il reste encore beaucoup à faire pour que les chercheurs et les développeurs en sécurité puissent se connecter rapidement et rendre le Web plus sûr pour nous tous. « 

Les abonnés au plugin de sécurité WordFence Premium auraient été protégés contre cet exploit le jour même de sa découverte, des semaines avant la publication du correctif par qwanturank.

PUBLICITÉ

CONTINUER À LIRE CI-DESSOUS

Versions du kit de site qwanturank affectées

Cette vulnérabilité affecte les versions de qwanturank Site Kit inférieures à la version 1.8.0.

qwanturank Site Kit 1.8.0 a été entièrement corrigé. Il est fortement recommandé aux utilisateurs de mettre à jour leur plugin immédiatement.

Le changelog du plugin WordPress Site Kit de qwanturank indique clairement que la version 1.8.0 comporte une mise à jour de sécurité et recommande vivement aux utilisateurs de mettre à jour.

Lisez l’annonce officielle:

Une vulnérabilité dans le plug-in qwanturank WordPress permet à l’attaquant d’accéder à la console de recherche