Source: Wordfence (blog). Wordfence décrit une vulnérabilité de lecture arbitraire de fichiers dans le plugin WordPress Anti‑Malware Security and Brute‑Force Firewall (100 000+ installations), exploitable par des comptes authentifiés au niveau abonné et corrigée en version 4.23.83.

  • Type: Arbitrary File Read / LFI via une action AJAX sans contrôle de capacité.
  • Impact: lecture de fichiers sensibles du serveur, dont wp-config.php (identifiants DB, clés/salts).
  • Portée: versions 4.23.81 et antérieures. Correctif publié le 15 oct. 2025.
  • Découverte: Dmitrii Ignatyev, via le Wordfence Bug Bounty Program (bounty: 960 $). 🔍

Détails techniques

  • La fonction vulnérable est GOTMLS_ajax_scan(), qui affiche le contenu de fichiers via: GOTMLS_decode($_GET["GOTMLS_scan"]), puis realpath() et file_get_contents() pour renvoyer le contenu.
  • Bien que protégée par un nonce, celui‑ci peut être obtenu par un utilisateur authentifié dans la version vulnérable.
  • Problème clé: absence de vérification de capacités dans l’action AJAX, permettant à un abonné d’invoquer l’action et de lire des fichiers arbitraires.

Correctif 🔧

  • Ajout de GOTMLS_kill_invalid_user() dans GOTMLS_ajax_scan() pour imposer un contrôle de capacité via GOTMLS_user_can() (multisite: manage_network, sinon: activate_plugins).
  • Version corrigée: 4.23.83 (publiée le 15/10/2025).

Protection Wordfence 🛡️

  • Règle WAF déployée pour Wordfence Premium/Care/Response le 14/10/2025.
  • Protection identique pour Wordfence Free à partir du 13/11/2025.

Chronologie

  • 03/10/2025: Soumission au programme de bug bounty Wordfence.
  • 13/10/2025: Validation et PoC confirmés.
  • 14/10/2025: Règle WAF (Premium/Care/Response) + transmission à l’équipe sécurité WordPress.org (accusé de réception le 14/10).
  • 15/10/2025: Publication du patch 4.23.83.
  • 13/11/2025: Mise à disposition de la règle WAF pour Wordfence Free.

IOCs et TTPs

  • IOCs: Aucun IOC communiqué.
  • TTPs:
    • Exploitation d’une action AJAX sans contrôle de capacité (GOTMLS_ajax_scan).
    • Obtention du nonce par un utilisateur authentifié.
    • Lecture de fichiers sensibles via file_get_contents() (ex.: wp-config.php).

Autres informations

  • Wordfence annonce des promotions bug bounty: 2× récompenses jusqu’au 10/11/2025 (logiciels 5k–5M installs), et LFInder Challenge (LFI) jusqu’au 24/11/2025 (+30% bonus).

Conclusion Il s’agit d’un avis technique de Wordfence détaillant une vulnérabilité LFI dans un plugin WordPress populaire, avec analyse du code, timeline de divulgation et disponibilité d’un correctif et de règles WAF.

🧠 TTPs et IOCs détectés

TTP

Exploitation d’une action AJAX sans contrôle de capacité (GOTMLS_ajax_scan); Obtention du nonce par un utilisateur authentifié; Lecture de fichiers sensibles via file_get_contents() (ex.: wp-config.php)

IOC

Aucun IOC communiqué

🔗 Source originale : https://www.wordfence.com/blog/2025/10/100000-wordpress-sites-affected-by-arbitrary-file-read-vulnerability-in-anti-malware-security-and-brute-force-firewall-wordpress-plugin/