Origine: bjCSIRT

Numéro: 2021/ALERTE/025

Date de l’alerte: 02/06/2021

APERÇU :

Une vulnérabilité critique d’exécution de code à distance activement exploitée a récemment été découverte dans Fancy Product Designer, une extension fréquemment utilisée dans WordPress.

DESCRIPTION :

Fancy Product Designer est une extension WordPress utilisée surtout par les sites de e-commerce qui permet aux utilisateurs de charger des images et fichiers PDF à ajouter aux produits.

Libellée CVE-2021-24370, cette vulnérabilité permettrait à des attaquants de charger des fichiers malveillants sur les sites vulnérables pour une exécution de code à distance pouvant aboutir à une prise de contrôle complète des sites impactés. L’extension avait mis en place des vérifications afin d‘empêcher le chargement de fichiers malveillants. Toutefois ces dernières étant insuffisantes, elles peuvent actuellement être contournées et permettre aux attaquants de déployer des fichiers PHP exécutables sur les sites où l’extension Fancy Product Designer est installée.

Une exploitation réussie de cette vulnérabilité permettrait à un acteur malveillant d’avoir un contrôle total des sites vulnérables.

IMPACT :

• Exécution de code arbitraire à distance
• Compromission des sites

SYSTEMES AFFECTÉS :

Fancy Product Designer : version 4.6.8 et antérieures

MESURES À PRENDRE :

Etant donné qu’aucun correctif n’ait encore été émis pour la vulnérabilité, et qu’elle est exploitée activement, les utilisateurs devraient désinstaller l’extension jusqu’à ce qu’une version corrective soit disponible.

REFERENCES :

• https://www.bleepingcomputer.com/news/security/critical-wordpress-plugin-zero-day-under-active-exploitation/
• https://support.fancyproductdesigner.com/support/discussions/topics/13000029838
• https://www.wordfence.com/blog/2021/06/critical-0-day-in-fancy-product-designer-under-active-attack/