Une vulnérabilité que Google a corrigée dans l’un de ses plugins WordPress officiels pourrait être utilisée abusivement par des attaquants pour accéder à la Google Search Console d’un site Web impacté.

Le plugin, Site Kit by Google, a été conçu pour fournir aux administrateurs de sites des informations sur la façon dont les gens trouvent et utilisent leurs sites Web, en fournissant des informations à partir des outils Google essentiels, directement sur le tableau de bord WordPress. Le plugin a plus de 400 000 installations actives.

La faille de sécurité récemment identifiée, qui a déjà été corrigée par Google, est classée critique gravité et a un score CVSS de 9,1. Il pourrait permettre à un attaquant d’obtenir un accès propriétaire à la Search Console et de modifier les sitemaps ou de falsifier les pages de résultats des moteurs de recherche (SERP).

Lors de la connexion initiale avec Google Search Console, le plug-in génère un proxySetupURL via lequel l’administrateur du site est redirigé vers Google OAuth, et utilise un proxy pour exécuter le processus de vérification.

Le proxySetupURL, découvert par l’équipe Wordfence Threat Intelligence de Defiant, était affiché dans le code source HTML des pages d’administration et pouvait être consulté par tout utilisateur authentifié ayant accédé au tableau de bord / wp-admin.

De plus, selon les chercheurs en sécurité, la demande de vérification s’est avérée être une action d’administration enregistrée sans vérification des capacités. Ainsi, tout utilisateur authentifié, même avec des autorisations minimales, pourrait envoyer des demandes de vérification.

« Ces deux failles ont permis aux utilisateurs de niveau abonné de devenir propriétaires de Google Search Console sur n’importe quel site affecté », explique Defiant.