Introduction#
La vulnérabilité CVE-2023-50564 affecte Pluck CMS v4.7.18, un CMS open-source réputé pour sa légèreté, souvent utilisé pour des sites web personnels ou de petites entreprises. Cette faille critique permet à un attaquant authentifié de téléverser des fichiers ZIP malveillants contenant des scripts PHP, conduisant à une exécution de code arbitraire et potentiellement au contrôle total du serveur.
Description Technique#
Informations sur la vulnérabilité#
- Composant vulnérable :
/inc/modules_install.php - Type de vulnérabilité : Téléversement de fichier arbitraire (CWE-434)
- Score CVSS : 8.8 (High)
- Vecteur :
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - Impact :
- Confidentialité : Élevé
- Intégrité : Élevé
- Disponibilité : Élevé
- Vecteur :
Cette vulnérabilité provient d’une absence de validation stricte des fichiers téléversés via le gestionnaire d’installation de modules. Les attaquants peuvent exploiter cette faiblesse pour injecter des fichiers malveillants tels que des scripts PHP, permettant ainsi l’exécution de commandes arbitraires sur le serveur.
Mécanisme d’Exploitation#
L’exploitation de cette faille suit généralement les étapes suivantes :
- Authentification : L’attaquant doit disposer d’un accès authentifié au CMS avec des privilèges lui permettant d’accéder au gestionnaire de modules.
- Création du payload : Un fichier ZIP malveillant contenant un script PHP (par exemple,
shell.php) est préparé avec les fichiers nécessaires à une installation valide. - Téléversement : Le fichier ZIP est téléversé via le formulaire d’installation de modules disponible à
/inc/modules_install.php. - Exécution du script : Une fois le ZIP traité, le script malveillant devient accessible et exécutable sur le serveur, ouvrant la voie à un contrôle total.
Un exemple concret d’exploitation (Proof of Concept - PoC) est disponible dans votre dépôt GitHub, démontrant comment téléverser un fichier ZIP malveillant et obtenir un shell distant.
De plus, une machine virtuelle sur la plateforme Hack The Box dispose de cette vulnérabilité et peut être utilisée pour des tests pratiques : HTB - Greenhorn
Risques et Impact#
Les répercussions de cette vulnérabilité peuvent être graves, notamment :
- Exécution de code arbitraire : L’attaquant peut exécuter des commandes système à distance.
- Exfiltration de données : Les informations sensibles stockées sur le serveur peuvent être compromises.
- Déni de service : Le serveur peut être utilisé à des fins malveillantes, notamment pour héberger des scripts de phishing ou distribuer des logiciels malveillants.
Mesures de Remédiation#
Mise à jour recommandée#
- Si une version corrigée est disponible, mettez à jour immédiatement votre installation de Pluck CMS vers une version sécurisée.
Contournements temporaires#
- Désactivation des modules : Restreignez ou désactivez temporairement l’installation de modules si elle n’est pas indispensable.
- Validation stricte des fichiers : Implémentez un contrôle rigoureux des extensions de fichiers et du contenu des archives téléversées.
Surveillance proactive#
- Analysez régulièrement les journaux d’accès pour détecter des activités suspectes.
- Déployez des outils de détection d’intrusion (IDS) afin d’identifier des comportements malveillants.
Renforcement de la sécurité#
- Limitez l’accès au gestionnaire de modules aux utilisateurs de confiance uniquement.
- Configurez un pare-feu applicatif (WAF) pour filtrer les requêtes suspectes.
Ressources Supplémentaires#
- Base de données CVE : NVD - CVE-2023-50564
- CloudDefense.AI : Détails sur CVE-2023-50564
- Dépôt GitHub PoC : Rai2en/CVE-2023-50564_Pluck-v4.7.18_PoC
- Hack The Box : HTB - Machine n°617
Conclusion#
La vulnérabilité CVE-2023-50564 illustre l’importance de maintenir un cycle de mise à jour régulier et d’adopter des pratiques de durcissement pour les systèmes exposés au web. Les utilisateurs de Pluck CMS sont fortement encouragés à sécuriser leurs installations pour éviter une exploitation potentiellement catastrophique.
Votre sécurité est entre vos mains : prenez les mesures nécessaires dès aujourd’hui.