9.8/10 : vulnérabilité critique pour cette extension WordPress.
Elle se présente comme un "Must have" si vous utilisez l'outil de création de sites web WordPress pour gérer des réservations en ligne. Mais ses développeurs ont oublié de la protéger contre les injections SQL. "WP Booking Calendar" est victime d'une faille importante permettant un accès à la base de données sans authentification.
Gérez vos réservations sur WordPREss
"WP Booking Calendar" est un plugin permettant de gérer des réservations en ligne. Pratique pour gérer une location d'appartement, le planning de réservation d'un photographe, organiser des réunions en équipe, faire de la location de véhicule, etc... L'annuaire des extenstions WordPress nous apprend qu'il est utilisé sur plus de 60 000 sites.
Mais qui donc se cache derrière cet outil ? Ses ou son développeur(s) utilise(nt) le pseudo "wpevelopp, oplugins" sur l'annuaire WordPress. Un tour sur le site wpbookingcalendar.com ne nous apprend pas beaucoup plus : aucune mention d'un pays, d'une adresse ou d'une société... Peut-être faudrait-il se poser la question avant d'installer un code tiers sur son site web ?
injection SQL dans wordpress
Dans la CVE-2024-1207, on apprend qu'un paramètre de recherche de WP Bookin Calendar n'est pas sécurisé. Les développeurs ne l'ont pas protégé contre les tentatives d'injection SQL. Ceci est valable pour toutes les versions jusqu'à la 9.9.
Une injection SQL permet de faire "sauter" la requête vers la base de données et d'envoyer d'autres ordres tels que d'extraire des données (la liste des utilisateurs par exemple), ajouter des informations (pour réaliser une défacement ou diffuser un malware, par exemple) ou même supprimer des informations.
C'est une faille commune, facilement exploitable mais aussi facilement détectable. Il est donc conseillé de passer immédiatement la mise à jour 9.9.1 sur votre site web si vous utilisez WP Booking Calendar.
Que faire si je ne peux pas passer la mise à jour ?
La bonne pratique est de toujours passer les mises à jour de sécurité. Mais parfois, la présence d'un développement spécifique complexe, ou d'un thème non compatible, peuvent empêcher les montées de versions. Si vous êtes dans ce cas, vous devriez sérieusement songer à investir pour permettre la mise à jour de votre WordPress. Mais en attendant, il est possible de réduire considérablement le risque d'attaques.
L'usage d'un WAF (Web Application Firewall), tel que ProtectMy.site, permet de bloquer les attaques génériques et l'exploitation des CVE (les failles de sécurité déjà connues). Le WAF se place entre le pirate et votre site web pour filtrer les requêtes malveillantes et sécuriser votre site WordPress.