Une vulnérabilité corrigée récemment dans le plugin WordPress Download Manager pourrait être utilisée à mauvais escient pour exécuter du code arbitraire dans des configurations spécifiques, prévient l’équipe Wordfence de la société de sécurité WordPress Defiant.

Traqué comme CVE-2021-34639 et ayant un score CVSS de 7,5, le bogue est un problème de téléchargement de fichier authentifié qui aurait pu permettre aux attaquants de télécharger des fichiers avec des extensions php4, ainsi que des fichiers qui pourraient être exécutés si certaines conditions étaient remplies.

Plus précisément, le plugin s’est avéré vulnérable à une attaque à double extension, où un fichier avec plusieurs extensions pourrait être utilisé pour exécuter du code.

« Par exemple, il était possible de télécharger un fichier intitulé info.php.png. Ce fichier serait exécutable sur certains Apache/mod_php configurations qui utilisent une directive AddHandler ou AddType », explique Wordfence.

Les chercheurs en sécurité soulignent que, bien qu’il s’agisse d’un problème de haute gravité, son exploitation n’est pas aussi simple, car un .htaccess dans le répertoire de téléchargement empêche l’exécution des fichiers téléchargés.

Les versions de WordPress Download Manager antérieures à la version 3.1.24 sont impactées. La vulnérabilité a été corrigée début mai avec une faille de gravité moyenne qui pourrait être exploitée pour accéder à des informations sensibles.

Suivi comme CVE-2021-34638 (score CVSS de 6,5), le problème est une traversée de répertoire qui pourrait permettre à un utilisateur peu privilégié « de récupérer le contenu d’un site wp-config.php en ajoutant un nouveau téléchargement et en effectuant une attaque de traversée de répertoire à l’aide du fichier[page_template] paramètre », explique Wordfence.

Ainsi, le contenu du fichier wp-config.php est affiché dans la page source lors de la prévisualisation du téléchargement.

La vulnérabilité, explique Wordfence, pourrait également être exploitée pour l’exécution de code. Un utilisateur avec les autorisations d’un auteur pourrait télécharger un fichier avec une extension d’image mais qui inclut du JavaScript malveillant.

En incluant le chemin du fichier téléchargé…