Vulnérabilités dans Portable phpMyAdmin : Votre base de données, version publique

Vulnérabilités dans Portable phpMyAdmin : Votre base de données, version publique

Présentation

Avec ses [papii info= »downloaded » plugin= »portable-phpmyadmin »] téléchargements, le plugin « Portable phpMyAdmin » permet d’avoir un accès rapide et simple à l’administration de votre base de données grà¢ce à une version portative du celèbre phpMyAdmin.

Quel est le soucis ?

Si vous avez des membres sur votre site (même de simples abonnés), arrêtez de lire cet article, supprimez de suite sur tous vos sites ce plugin et reprenez la lecture, ne perdez pas de temps !

Le problème ne vient pas de phpMyAdmin mais de la façon dont le plugin donne l’accès à cette administration. Seuls les admins ont un menu qui ouvre la page incluant l’accès à PMA, mais cette inclusion n’est en fait qu’une iFrame. Ce qui signifie que, en simple membre, je peux charger l’url du plugin PMA dans mon navigateur, et ainsi avoir accès sans mot de passe à la base de données en accès complet. Ouch.

Une démonstration ?

Voici une capture de ce que voit un abonné, un simple membre inscrit avec le moins de droits possible :

Profil Abonné
Profil Abonné

Ouf, pas de danger, puisque pas de menu ? mmm … maintenant je vais tapper ça :

http://www.example.com/wp-content/plugins/portable-phpmyadmin/wp-pma-mod/

Voici le résultat en images :

Accueil de PMA
Accueil de PMA

« Oh oh oh » comme dirait le Père Noë ! Cadeau, vous avez un accès complet, même en abonné ! Si cet abonné connait le plugin, sait que vous l’utilisez ou simplement teste la faille sur votre site, ça risque de faire très mal … Cela lui donne la possibilité de supprimer les données, effacer des tables, modifier le contenu des articles, ajouter des pubs ou autres scripts malicieux, se créer un compte admin, bref de la belle pagaille !

Convaincu ?

Vous n’aviez pas encore supprimé le plugin ? Allez-y, j’espère que cette démo vous a convaincu. L’auteur est alerté mais ne semble pas bouger, il était donc de mon devoir de vous en informer. D’une manière générale, éviter ce genre de plugin, préférez les applications web externes à WordPress.

Un patch ?

Un patch est sorti mais, si vraiment vous aviez besoin d’administrer votre base de données de cette façon, je vous invite à vous tourner vers des solutions hors WordPress comme votre hébergeur, ou un autre phpMyAdmin externe dans lequel vous ajouterez un .htpasswd et devrez ensuite vous authentifier.

Vous aimez ? Partagez !


Réagir à cet article

220 caractères maximum