Une faille 0day de WordPress permet de réinitialiser le mot de passe admin

L’expert Dawid Golunski a découvert une faille 0day sur WordPress 4.7.4 et les versions précédentes permettant à un attaquant d’obtenir dans certains cas le lien pour remettre à zéro le mot de passe admin. 


Le très populaire CMS est régulièrement victime de failles, mais la dernière en date est plutôt inquiétante pour les administrateurs. Baptisée CVE-2017-8295, elle peut potentiellement permettre à un attaquant de réinitialiser le mot de passe administrateur. Cette faille 0day est inhérente à la fonctionnalité de remise à zéro du mot de passe de WordPress. « Une telle attaque pourrait amener un attaquant à obtenir un accès non autorisé au compte WordPress d’une victime », écrit le chercheur en sécurité Dawid Golunski, à l’origine de la découverte de cette faille.Problème : le chercheur a rapporté cette faille à WordPress en juillet 2016. Devant la non-réaction de l’éditeur, il a décidé de la rendre publique. Elle est d’autant plus sensible qu’elle touche toutes les versions jusqu’à l’actuelle 4.7.4. Concrètement, un attaquant peut en fait utiliser la variable SERVER_NAME et ajouter un expéditeur pour le mail de réinitialisation.Dans son exemple, Dawid Golunski montre comment un domaine (attackers-mxserver.com) peut alors générer une fausse adresse de réinitialisation de mot de passe dans un mail comme celui-ci :

On pourrait finalement se dire que ce n’est pas si grave dans la mesure où cela envoie un mail de réinitialisation à l’administrateur, avec uniquement une mauvaise adresse de l’envoyeur. Mais concrètement cela peut tout de même causer des dégâts puisque plusieurs techniques peuvent permettre à l’attaquant d’arriver à ses fins. Aucun patch ne corrige actuellement la vulnérabilité et WordPress n’a pas encore communiqué. Pour les administrateurs, Dawid Golunski propose toutefois une alternative qui consiste à utiliser une valeur SERVER_NAME statique comme il l’explique sur son site.