Un code d’exploitation affectant WordPress a été publié. Il permet d’exploiter une vulnérabilité au sein du composant PHPMailer afin de prendre le contrôle du serveur Web.
Description :
La vulnérabilité en question, référencée CVE-2016-10033, affecte le CMS WordPress dans sa version 4.6. Son exploitation permet à un attaquant distant de prendre le contrôle du système via une faille affectant le composant PHPMailer. Un exploit concernant le composant avait déjà été publié par le passé.
La nouvelle preuve de concept se matérialise sous la forme d’un script SH. Ce code permet de provoquer une exécution de commandes à distance par le serveur ciblé à l’aide d’une requête HTTP spécialement conçue. L’erreur réside au niveau de l’analyse des valeurs d’entête HTTP. La valeur du champ « Host » est traitée pour être utilisée comme argument lors d’un appel au programme d’envoi d’e-mails Sendmail.
Un attaquant distant peut tirer parti de ce comportement pour forcer le programme appelé par WordPress à exécuter des commandes sur le système et en prendre le contrôle.
Note : la preuve de concept est disponible à l’adresse suivante (elle n’a pas été testée ni validée par notre laboratoire, une porte dérobée peut y être présente) :
Référence :
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10033
- https://leportail.xmco.fr/watch/advisory/CXA-2017-0106
- https://leportail.xmco.fr/watch/advisory/CXN-2016-4525
Référence CERT-XMCO :