vous avez été piraté ? obtenir de l'aide
Aide Immédiate
[wp_ulike]
Benjamin Bueno

Expert Cybersécurité

  • samedi - 3 pm.
09 août, 2025
Vulnérabilité critique PHP dans Uncanny Automator
Table des matières

Contenu complet de l’article (à copier-coller)

📢 Si vous l’avez manqué, Wordfence vient de publier son rapport annuel sur la sécurité WordPress pour 2024. Je vous invite à le lire pour mieux comprendre l’évolution des risques liés à WordPress et ainsi protéger vos sites en 2025 et au-delà.

Le 26 avril 2024, nous avons reçu une soumission concernant une vulnérabilité d’injection d’objet PHP authentifiée dans Uncanny Automator, un plugin WordPress avec plus de 50 000 installations actives. Cette vulnérabilité peut être exploitée via une chaîne POP existante dans le plugin pour supprimer des fichiers arbitraires, y compris le fichier wp-config.php, ce qui peut permettre à des attaquants authentifiés au niveau abonné de prendre le contrôle du site et d’exécuter du code à distance.

Je tiens à féliciter mikemyers qui a découvert et signalé cette vulnérabilité de manière responsable via le programme de récompense de bugs de Wordfence. Ce chercheur a reçu une récompense de 1 021 $ pour cette découverte. Notre mission est de sécuriser WordPress grâce à une défense en profondeur, c’est pourquoi nous investissons dans la recherche de vulnérabilités de qualité et collaborons avec des chercheurs de ce calibre. Nous nous engageons à rendre l’écosystème WordPress plus sûr grâce à la détection et à la prévention des vulnérabilités, un élément crucial de notre approche de sécurité à plusieurs niveaux.

Les utilisateurs de Wordfence Premium, Wordfence Care et Wordfence Response ont reçu une règle de pare-feu pour se protéger contre toute exploitation ciblant cette vulnérabilité dès le 22 avril 2025. Les sites utilisant la version gratuite de Wordfence bénéficieront de la même protection 30 jours plus tard, le 22 mai 2025.

Nous avons contacté l’équipe d’Uncanny Owl le 15 avril 2025 et avons reçu une réponse le jour même. Après avoir fourni tous les détails, le développeur a publié le correctif le 18 avril 2025. Je tiens à saluer l’équipe d’Uncanny Owl pour sa réponse rapide et la publication du correctif en temps opportun.

Je vous exhorte à mettre à jour vos sites avec la dernière version corrigée d’Uncanny Automator, la version 6.4.0.2 au moment de la rédaction, dès que possible.

Résumé de la vulnérabilité selon Wordfence Intelligence

  • Évaluation CVSS : Élevée (8.1)
  • Versions affectées : <= 6.4.0.1
  • Version corrigée : 6.4.0.2
  • Récompense : 1 021 $
  • Logiciel affecté : Plugin Uncanny Automator pour WordPress

Le plugin Uncanny Automator est vulnérable à l’injection d’objet PHP dans toutes les versions jusqu’à la 6.4.0.1 incluse, via la désérialisation d’une entrée non fiable dans la fonction automator_api_decode_message(). Cela permet à des attaquants authentifiés, avec un accès de niveau abonné ou supérieur, d’injecter un objet PHP. La présence supplémentaire d’une chaîne POP permet aux attaquants de supprimer des fichiers arbitraires.

Analyse technique

Uncanny Automator est un plugin WordPress qui aide à connecter votre site WordPress avec d’autres plugins et applications. En examinant le code, on constate que le plugin utilise la fonction automator_api_decode_message() dans la classe Automator_Helpers_Recipe pour décoder le message API chiffré.

public static function automator_api_decode_message( $message, $secret ) {
    $tokens = false;
    if ( ! empty( $message ) && ! empty( $secret ) ) {
        $message = base64_decode( $message ); 
        $method = 'AES128';
        $iv = substr( $message, 0, 16 );
        $encrypted_message = substr( $message, 16 );
        $tokens = openssl_decrypt( $encrypted_message, $method, $secret, 0, $iv );
        $tokens = maybe_unserialize( $tokens );
    }
    return $tokens;
}

La fonction décode d’abord le message en Base64, puis le déchiffre avec le secret spécifié dans le paramètre de la fonction, et enfin le désérialise.

Malheureusement, cette fonction de décodage est utilisée dans plusieurs fonctions AJAX où le code secret provient directement de l’entrée utilisateur. Cela signifie qu’un attaquant peut contrôler le code secret, lui permettant de fournir tout objet sérialisé chiffré malveillant, qui sera ensuite déchiffré. La valeur déchiffrée est ensuite désérialisée, ce qui peut permettre à l’attaquant de réaliser une injection d’objet PHP.

Le plugin contient une chaîne POP qui supprime un fichier temporaire spécifié lors du nettoyage. Cela permet aux attaquants authentifiés avec un accès minimal, comme les abonnés, de supprimer n’importe quel fichier arbitraire sur le serveur, y compris le fichier wp-config.php du site. La suppression du wp-config.php force le site à entrer dans un état de configuration, permettant à un attaquant de le rediriger vers une base de données sous son contrôle. Cela donne finalement accès au serveur du site où d’autres infections peuvent se produire.

Chronologie de la divulgation

  • 4 avril 2025 : Réception de la soumission pour la vulnérabilité d’injection d’objet PHP dans Uncanny Automator via le programme de récompense de bugs de Wordfence.
  • 14 avril 2025 : Validation du rapport et confirmation de la preuve de concept.
  • 15 avril 2025 : Contact initial avec le fournisseur via le formulaire de contact, demandant la confirmation de la boîte de réception pour gérer la discussion.
  • 15 avril 2025 : Le fournisseur confirme la boîte de réception pour gérer la discussion.
  • 15 avril 2025 : Envoi des détails complets de la divulgation au fournisseur. Le fournisseur reconnaît le rapport et commence à travailler sur un correctif.
  • 18 avril 2025 : Publication de la version entièrement corrigée du plugin, 6.4.0.2.
  • 22 avril 2025 : Les utilisateurs de Wordfence Premium, Care et Response reçoivent une règle de pare-feu pour se protéger contre toute exploitation ciblant cette vulnérabilité.
  • 22 mai 2025 : Les utilisateurs de Wordfence Free recevront la même protection.

Impact et conseils pratiques pour les sites WordPress français

L’impact de cette vulnérabilité sur les sites WordPress français est considérable. De nombreux propriétaires de sites, qu’ils soient des petites entreprises ou des blogueurs, se retrouvent exposés à des risques de piratage. Les conséquences peuvent être désastreuses : perte de données, dégradation de l’image de marque, voire des pertes financières. C’est pourquoi il est crucial de prendre des mesures préventives.

Pour protéger votre site, commencez par mettre à jour régulièrement votre version de WordPress ainsi que tous vos plugins et thèmes. Utilisez des mots de passe forts et changez-les régulièrement. Installez un pare-feu et un plugin de sécurité pour surveiller les activités suspectes. N’oubliez pas de sauvegarder votre site fréquemment afin de pouvoir le restaurer en cas de problème.

Chez SécuritéWP, nous offrons des services de réparation d’urgence pour vous aider à réagir rapidement en cas de piratage. Notre service de maintenance assure que votre site reste sécurisé et performant, tandis que notre expertise en SEO vous aide à maintenir et améliorer votre visibilité en ligne, même après un incident de sécurité.

Pour garantir la sécurité de votre site, nous vous invitons à contacter SécuritéWP pour un audit gratuit. Ensemble, nous pouvons renforcer la protection de votre site et assurer sa pérennité.

Conclusion

Dans cet article, j’ai détaillé une vulnérabilité d’injection d’objet PHP menant à la suppression de fichiers arbitraires dans le plugin Uncanny Automator affectant les versions 6.4.0.1 et antérieures. Cette vulnérabilité permet à des acteurs malveillants authentifiés avec des permissions de niveau abonné ou supérieur de supprimer des fichiers arbitraires, y compris le fichier wp-config.php, ce qui peut permettre la prise de contrôle du site et l’exécution de code à distance. La vulnérabilité a été corrigée dans la version 6.4.0.2 du plugin.

Je vous encourage à vérifier que vos sites sont mis à jour avec la dernière version corrigée d’Uncanny Automator dès que possible, compte tenu de la nature critique de cette vulnérabilité.

Les utilisateurs de Wordfence exécutant Wordfence Premium, Wordfence Care et Wordfence Response ont été protégés contre ces vulnérabilités depuis le 22 avril 2025. Les utilisateurs de la version gratuite de Wordfence recevront la même protection 30 jours plus tard, le 22 mai 2025.

Si vous connaissez quelqu’un qui utilise ce plugin sur son site, je vous recommande de partager cet avis avec lui pour garantir la sécurité de son site, car cette vulnérabilité représente un risque important.

Pour toute assistance, que ce soit pour une réparation d’urgence WordPress, une maintenance WordPress ou une optimisation SEO, n’hésitez pas à me contacter. Je suis là pour vous aider à sécuriser et optimiser votre site WordPress.

Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP.

 

Qu’est-ce que la vulnérabilité PHP Object Injection ?

La vulnérabilité PHP Object Injection permet à un attaquant d’injecter des objets PHP malveillants dans une application, pouvant conduire à l’exécution de code arbitraire.

Comment cette vulnérabilité affecte-t-elle Uncanny Automator ?

Uncanny Automator est affecté par cette vulnérabilité car il permet l’injection d’objets PHP via des entrées non sécurisées, ce qui peut être exploité par des attaquants.

Quels sont les risques associés à cette vulnérabilité ?

Les risques incluent l’exécution de code arbitraire, la compromission de données sensibles et le contrôle total du site affecté.

Comment puis-je protéger mon site contre cette vulnérabilité ?

Pour protéger votre site, mettez à jour Uncanny Automator vers la dernière version et appliquez des correctifs de sécurité recommandés.

Existe-t-il un correctif pour cette vulnérabilité ?

Oui, un correctif a été publié. Il est crucial de mettre à jour le plugin Uncanny Automator pour corriger cette vulnérabilité.

Comment savoir si mon site a été compromis ?

Surveillez les comportements inhabituels, vérifiez les journaux d’accès et utilisez des outils de sécurité pour détecter toute activité suspecte.

Articles du même sujet

Nos experts français assurent un support et une prestation de qualité.

Faire appel à nous

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article