Vulnérabilités dans Portable phpMyAdmin
Votre base de données, version publique

banner-ppma
Plugin not found: portable-phpmyadmin

Présentation

Avec ses Plugin not found: portable-phpmyadmin téléchargements, le plugin "Portable phpMyAdmin" permet d'avoir un accès rapide et simple à l'administration de votre base de données grâce à une version portative du celèbre phpMyAdmin.

Quel est le soucis ?

Si vous avez des membres sur votre site (même de simples abonnés), arrêtez de lire cet article, supprimez de suite sur tous vos sites ce plugin et reprenez la lecture, ne perdez pas de temps !

Le problème ne vient pas de phpMyAdmin mais de la façon dont le plugin donne l'accès à cette administration. Seuls les admins ont un menu qui ouvre la page incluant l'accès à PMA, mais cette inclusion n'est en fait qu'une iFrame. Ce qui signifie que, en simple membre, je peux charger l'url du plugin PMA dans mon navigateur, et ainsi avoir accès sans mot de passe à la base de données en accès complet. Ouch.

Une démonstration ?

Voici une capture de ce que voit un abonné, un simple membre inscrit avec le moins de droits possible :

Profil Abonné

Profil Abonné

Ouf, pas de danger, puisque pas de menu ? mmm ... maintenant je vais tapper ça :

http://www.example.com/wp-content/plugins/portable-phpmyadmin/wp-pma-mod/

Voici le résultat en images :

Accueil de PMA

Accueil de PMA

"Oh oh oh" comme dirait le Père Noël ! Cadeau, vous avez un accès complet, même en abonné ! Si cet abonné connait le plugin, sait que vous l'utilisez ou simplement teste la faille sur votre site, ça risque de faire très mal ... Cela lui donne la possibilité de supprimer les données, effacer des tables, modifier le contenu des articles, ajouter des pubs ou autres scripts malicieux, se créer un compte admin, bref de la belle pagaille !

Convaincu ?

Vous n'aviez pas encore supprimé le plugin ? Allez-y, j'espère que cette démo vous a convaincu. L'auteur est alerté mais ne semble pas bouger, il était donc de mon devoir de vous en informer. D'une manière générale, éviter ce genre de plugin, préférez les applications web externes à WordPress.

Un patch ?

Un patch est sorti mais, si vraiment vous aviez besoin d'administrer votre base de données de cette façon, je vous invite à vous tourner vers des solutions hors WordPress comme votre hébergeur, ou un autre phpMyAdmin externe dans lequel vous ajouterez un .htpasswd et devrez ensuite vous authentifier.

Lire la suite

Vous aimez ? Partagez !

À propos de Julio Potier

Consultant en Sécurité & Expert WordPress, je développe et sécurise du contenu web tous les jours. La création de plugins WordPress fait partie de mon quotidien. Mon livre de chevet ? Le codex WordPress bien sur !

Commentaires

  1. Incroyable
    Le développeur du plugin n’est pas très calé en sécurité.
    Faire ce genre d’erreur est dingue.
  2. 2
    richnou a écrit:
    Pour sécuriser : un htaccess avec password dans le dossier concerné ?
    Mais tu le dis: autant utiliser une version non plugin…
  3. 3
    frances cortez a écrit:
    Où mysql_real_escape_string() de PHP échappe la variable et prévient contre le SQLInjection. Soyez donc vigilants, de nombreux plugins wordpress sont facilement hackés ; de plus, si vous comptez distribuer votre plugin wordpress , le code source sera accessible au grand public.
  4. Merci beaucoup pour l’info! C’est incroyable que l’auteur ne fasse rien!
  5. Franchement, je suis sur le cul, il faut être quand même je pense mal intentionné pour vouloir se connecter sur une base de données et mettre du désordre. Mais bon vaut mieux se prémunir au maximum … il ya pas mal de délinquants du web qui trainent … Merci pour les conseils …
    • AuteurJulio Potier a écrit:
      Bienvenue sur Internet ! Sache que tous les jours des milliers de sites se font pirater grâce à ce genre de faille.
  6. 6
    David a écrit:
    Wahou, ça fait froid dans le dos…je fait parti des heureux qui n’ont pas installé ce plugin, comme quoi « Trop de plugin, tue le plugin ».

    En tout cas merci Julio pour cette info dont je n’avais pas connaissance.

    • AuteurJulio Potier a écrit:
      Je l’ai vu souvent chez des clients, je leur avais dit de préférer un vrai PMA, i was right. ;)
  7. C’est vrai qu’un plugin de ce style peut mettre le chaos dans votre blog. Lister ses plugins dans une page pourrait donc être suicidaire, non ?
  8. C’est ce genre de plugins que j’évite d’installer sur mes sites. Tous les plugins qui facilitent l’accès à la base de données et au ftp et que sais-je encore.. Je préfère faire ça « à l’ancienne », mais au moins je me sens plus en sécurité.
  9. Beaucoup de plugins ne sont pas sécurisé, il faut vraiment faire attention !
    Et énormément de personne profite de faille dans les plugins wordpress.
  10. Je comprends perfume designer, c’est vrai que depuis que je parcours vos sites (boite à web et wpchannel), moi qui suis un peu parano, j’ai l’impression de devenir deux fois plus… parce qu’à la base, je vois pas trop l’intérêt de pirater un site… mais comme je me dis que des personnes comme toi ou Daniel ou d’autres avez largement l’expérience dans ce domaine et que si vous parlez si souvent de sécurité, doit bien y avoir une raison… alors j’écoute… Pour ce qui est du post en lui-même, il y a quelques jours en regardant les plugins à télécharger, je me demandais s’il valait la peine de télécharger ou non celui-ci… heureusement, je n’ai rien fait car je voulais d’abord me renseigner sur l’utilité réel de ce genre de plugin… eh bien ce soir j’ai ma réponse… Merci !

Envie de dire quelque chose ?

Avant de parler, merci de lire la charte des commentaires.

*

Vous pouvez utiliser le tag [php][/php] pour ajouter quelques lignes de PHP, si c'est un pavé, merci d'utiliser service comme pastebin.com.

a5ad0146ba5738ef3f841e13bf0bcd0d111111111111111