Rapport de Sécurité WordPress 2024 : Faille critique dans MasterStudy LMS Pro
Bonjour à tous, je suis Benjamin Bueno, expert en sécurité WordPress chez SécuritéWP. Aujourd’hui, je souhaite attirer votre attention sur une faille de sécurité majeure qui a récemment touché l’écosystème WordPress, et plus précisément le plugin MasterStudy LMS Pro. Ce plugin, utilisé par plus de 15 000 sites à travers le monde, est également intégré au thème MasterStudy Education, très populaire sur ThemeForest.
Une vulnérabilité de téléchargement de fichiers arbitraires
Le 15 mai 2025, une vulnérabilité de type « téléchargement de fichiers arbitraires » a été signalée dans MasterStudy LMS Pro. Cette faille permettait à des utilisateurs authentifiés, même avec de simples droits d’abonné, de téléverser n’importe quel fichier sur le serveur WordPress vulnérable. Dans certains cas, cela pouvait conduire à l’exécution de code malveillant à distance, ouvrant la porte à une prise de contrôle totale du site.
Il est important de préciser que cette vulnérabilité ne concerne que les sites ayant activé les modules complémentaires « Media File Manager » et « Assignments » du plugin Pro. Par défaut, ces modules sont désactivés, mais il suffit d’une mauvaise configuration pour exposer votre site à un risque majeur.
Découverte et gestion responsable
La faille a été découverte par le chercheur Foxyyy, qui l’a signalée via le programme de bug bounty de Wordfence. Pour cette découverte, il a reçu une récompense de 703 dollars, soulignant l’importance de la recherche proactive en sécurité. Chez SécuritéWP, nous partageons cette philosophie de défense en profondeur : en tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité pour garantir la protection de votre site.
Détails techniques de la vulnérabilité
Le plugin MasterStudy LMS Pro utilise la fonction stm_lms_upload_media_library_file() pour permettre le téléchargement de fichiers dans la médiathèque WordPress. Or, dans les versions vulnérables (jusqu’à 4.7.0 inclus), cette fonction ne vérifiait ni les capacités de l’utilisateur, ni la validité du nonce de sécurité. Un abonné pouvait donc exploiter une action AJAX pour téléverser des fichiers images ou documents sur le serveur.
Pire encore, la fonction stm_lms_add_assignment_attachment() permettait d’attacher ces fichiers à des publications et de les copier sous un nom arbitraire, sans vérifier l’extension ou le type de fichier. Un attaquant pouvait ainsi téléverser un fichier .png, puis le renommer en .php, rendant possible l’exécution de code malveillant sur le serveur. Les fichiers étaient stockés dans le dossier uploads de WordPress, accessible publiquement par défaut.
Ce type de faille est particulièrement dangereux, car il peut être exploité pour installer des webshells, voler des données ou prendre le contrôle total du site.
Correction et recommandations
Dès la découverte de la faille, Wordfence a protégé ses utilisateurs Premium, Care et Response via une règle de pare-feu spécifique dès le 15 mai 2025. Les utilisateurs de la version gratuite bénéficieront de cette protection à partir du 14 juin 2025. L’éditeur du plugin, StylemixThemes, a publié un correctif en version 4.7.1 le 22 mai 2025. Je salue leur réactivité et leur professionnalisme.
Je vous recommande vivement de vérifier la version de votre plugin MasterStudy LMS Pro et de le mettre à jour immédiatement vers la version 4.7.1 ou supérieure. Si vous avez activé les modules « Media File Manager » ou « Assignments », soyez particulièrement vigilants.
Conseils de sécurité et services SécuritéWP
Pour éviter ce type de vulnérabilité, il est essentiel de maintenir tous vos plugins et thèmes à jour, d’utiliser des mots de passe robustes et d’installer un plugin de sécurité fiable. Chez SécuritéWP, notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec une option d’hébergement Premium en France pour une sécurité renforcée.
En cas d’incident, notre équipe intervient rapidement pour analyser, nettoyer et sécuriser votre site. Nous proposons également des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés pour renforcer votre visibilité en ligne tout en assurant la sécurité de votre présence numérique.
Conclusion
La faille de téléchargement de fichiers arbitraires dans MasterStudy LMS Pro rappelle l’importance de la vigilance et de la réactivité face aux menaces. N’attendez pas d’être victime d’une attaque pour agir : mettez à jour vos extensions, renforcez la sécurité de votre site et faites appel à des experts si besoin.
Pour toute question ou pour bénéficier de nos services de sécurité, de maintenance ou d’optimisation, contactez-nous dès aujourd’hui. Ensemble, assurons la sécurité et la réussite de votre site WordPress.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
