Une faille a été détecté dans le core de WordPress le 20 novembre 2017. L’équipe qui a détecté la faille l’a signalé à WordPress et a décidé de la rendre publique hier (26 Juin 2018) suite à une absence de réponse de la part WordPress.

La faille permet entre autres de supprimer le fichier wp-config.php et donc de changer les informations de la base de données pour prendre le controle du site. La faille est minimisée car il faut être au minimum auteur pour l’exploiter.

Voici la vidéo de démonstration de RipsTech (l’équipe ayant découvert la faille) :

Le fait de dévoiler cette faille publiquement a pour but d’accélerer le processus de correction de la faille. RipsTech a partagé un patch en attendant que la faille soit corrigée officiellement.

Il suffit d’ajouter ce bout de code à la fin du fichier functions.php du thème pour patcher le problème.

add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );

function rips_unlink_tempfix( $data ) {
if( isset($data['thumb']) ) {
$data['thumb'] = basename($data['thumb']);
}

return $data;
}

Pour ma part, j’ai déjà appliqué ce patch à mes clients pour lesquels j’effectue une maintenance de la sécurité informatique.

Source : https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/