50 000 sites web en danger : une faille d’un plugin WordPress populaire a été découverte

Une vulnérabilité critique a été identifiée dans le code d’Advanced Custom Fields: Extended (ACF Extended), un plugin WordPress qui permet de créer des champs personnalisés (cases, listes, zones de texte, etc.) pour construire des pages et des contenus sur mesure. Dans les détails, le plugin ajoute des fonctionnalités au plugin Advanced Custom Fields (ACF), essentiellement destinées aux développeurs.

Découverte par le chercheur en sécurité Andrea Bocchetti, la faille se situe dans le traitement des formulaires « Insérer un utilisateur / Mettre à jour un utilisateur » d’ACF Extended, précisément dans la gestion du champ du rôle utilisateur. Sur certains formulaires publics ACF Extended, n’importe qui peut se faire passer pour l’administrateur. À la suite d’un manque de contrôles, le plugin accepte qu’un internaute lambda décrète arbitrairement qu’il est l’administrateur du site. En exploitant la faille, un attaquant peut donc s’octroyer des privilèges administrateur sur un site vulnérable.