Définitions WordPress
Retrouvez tous les termes qui définissent l'univers du CMS Open Source WordPress
L’Unrestricted Upload of File with Dangerous Type (CWE-288) désigne une vulnérabilité de sécurité dans les applications web, y compris les sites WordPress, où un utilisateur malveillant peut télécharger des fichiers dangereux sans restriction. Ces fichiers peuvent inclure des scripts malveillants ou d’autres fichiers nuisibles capables de compromettre le système.
Cette faille est souvent exploitée pour injecter du code, accéder à des données sensibles ou prendre le contrôle d’un serveur. Elle est classée parmi les failles critiques de sécurité WordPress, car elle exploite une absence ou un défaut de validation des fichiers au niveau des formulaires de téléchargement.
L’impact de cette faille peut être dévastateur. Lorsqu’un fichier malveillant est téléchargé, il peut :
Dans WordPress, ces problèmes surviennent généralement lors de l’utilisation de plugins ou thèmes mal sécurisés qui permettent un upload de fichiers sans validation stricte.
Les fichiers les plus souvent utilisés dans ce type d’attaque incluent :
image.jpg.php
).Heureusement, plusieurs bonnes pratiques permettent de réduire considérablement les risques liés à cette faille :
.jpg
, .png
, .pdf
, etc.Le MIME type doit correspondre au contenu réel du fichier, et non uniquement à son extension.
Certains outils comme Wordfence ou Sucuri offrent des fonctionnalités spécifiques pour analyser et sécuriser les fichiers téléchargés.
Imaginons un site WordPress qui autorise les utilisateurs à télécharger des photos de profil. Si le formulaire ne limite pas les types de fichiers, un attaquant pourrait télécharger un fichier nommé photo.jpg.php
, contenant du code malveillant. Une fois exécuté, ce fichier peut permettre à l’attaquant d’exécuter des commandes sur le serveur.
Vous souhaitez travailler avec notre agence ?