Urgent : Localisateur de magasin DocoDoco (≤ 1.0.1) — Vulnérabilité d'upload de fichiers arbitraires authentifiée (Éditeur+) et ce que vous devez faire maintenant

Date : 15 octobre 2025
Auteur : Expert en sécurité de Hong Kong

Cet avis concerne un problème critique (CVE-2025-10754) affectant les versions du Localisateur de magasin DocoDoco ≤ 1.0.1. La faille permet aux utilisateurs authentifiés avec des privilèges d'Éditeur (ou supérieurs) de télécharger des fichiers arbitraires sur le site. La vulnérabilité a un CVSS de 7.2 et, au moment de la publication, aucun correctif du fournisseur n'est disponible. Lisez ceci attentivement et agissez immédiatement si ce plugin est installé sur votre site WordPress.

Résumé rapide (pour les administrateurs de site)

• Le Localisateur de magasin DocoDoco (≤ 1.0.1) contient une vulnérabilité d'upload de fichiers arbitraires authentifiée nécessitant un rôle d'Éditeur ou supérieur.
• Un attaquant avec un accès Éditeur peut télécharger des portes dérobées PHP/webshells, entraînant une exécution de code à distance, une présence persistante et un vol de données.
• Aucun correctif officiel n'est encore disponible. Une atténuation immédiate est nécessaire : supprimez ou désactivez le plugin, restreignez la capacité de téléchargement des Éditeurs, scannez les uploads pour détecter des fichiers malveillants, faites tourner les identifiants et appliquez un patch virtuel via votre hébergeur ou appareil de sécurité si possible.
• Si vous gérez plusieurs sites ou clients, priorisez d'abord les sites à haut risque (fort trafic, plusieurs éditeurs, contenu généré par les utilisateurs).

Pourquoi c'est sérieux

Les vulnérabilités d'upload de fichiers arbitraires ont un impact élevé pour les systèmes de gestion de contenu :

• Les attaquants peuvent implanter des portes dérobées PHP ou des webshells qui permettent l'exécution de commandes et la compromission totale du site.
• Les uploads peuvent être déguisés (double extensions, fichiers renommés) et exécutés directement ou via des failles d'inclusion de fichiers locaux.
• Les privilèges d'Éditeur accordent souvent la création de contenu et la manipulation de médias, ce qui est suffisant en pratique pour réaliser une prise de contrôle totale si les uploads sont abusés.
• Les vulnérabilités connues et non corrigées attirent le scan automatisé et l'exploitation de masse. Une atténuation rapide réduit considérablement le temps d'exposition.

Flux d'exploitation de haut niveau

1. L'attaquant obtient un accès de niveau Éditeur (compte compromis, vol d'identifiants, ingénierie sociale).
2. L'attaquant télécharge un fichier malveillant via le point de téléchargement du plugin ou l'écran d'administration.
3. Une validation/storage insuffisante permet à du contenu PHP ou exécutable d'être stocké dans un emplacement accessible via le web.
4. L'attaquant déclenche l'exécution du fichier pour exécuter des commandes, pivoter ou établir des portes dérobées persistantes.

Étapes immédiates que vous devez suivre (liste de contrôle de réponse à l'incident)

Si votre site utilise DocoDoco Store Locator (≤ 1.0.1), effectuez immédiatement les actions suivantes :

1. Placez le site en mode maintenance ou limité pour réduire l'impact des attaquants dans la mesure du possible.
2. Désactivez ou supprimez le plugin DocoDoco Store Locator. Si vous ne pouvez pas le supprimer immédiatement, renommez le dossier du plugin via SFTP/SSH pour empêcher le chargement du code du plugin :

   sudo mv wp-content/plugins/docodoco-store-locator wp-content/plugins/docodoco-store-locator.disabled

3. Forcez les réinitialisations de mot de passe pour tous les Administrateurs et Éditeurs. Forcez les réinitialisations de mot de passe pour tous les utilisateurs ayant des permissions de téléchargement, d'édition ou de publication.
4. Révoquez et réémettez toutes les clés API, les identifiants d'intégration ou les jetons externes liés au site.
5. Faites tourner les sels et les clés WordPress dans wp-config.php pour invalider les sessions existantes.
6. Scannez wp-content/uploads et d'autres répertoires écrits pour des fichiers récents ou suspects (voir Chasse et détection).
7. Auditez les comptes utilisateurs créés après la date de divulgation ; supprimez rapidement les comptes inconnus.
8. Inspectez les tâches planifiées (wp-cron), les modifications de fichiers de thème/plugin, .htaccess et wp-config.php pour des changements non autorisés.
9. Si des indicateurs de compromission sont présents (webshells, processus inconnus, portes dérobées), isolez le site et engagez immédiatement un professionnel de la réponse aux incidents ou votre hébergeur.
10. Si vous ne pouvez pas garantir un état propre, restaurez à partir d'une sauvegarde connue et bonne effectuée avant la compromission.

Dans la mesure du possible, coordonnez ces étapes avec votre fournisseur d'hébergement ou votre équipe des opérations de sécurité afin qu'ils puissent aider à la containment au niveau du réseau et au patching virtuel.

Chasse et détection : commandes et vérifications à exécuter maintenant

Utilisez les vérifications suivantes pour détecter des téléchargements ou des modifications suspects. Adaptez les commandes à votre environnement.

Recherchez dans les téléchargements des fichiers récents ou suspects

find wp-content/uploads -type f -mtime -30 -printf '%TY-%Tm-%Td %TT %p

find wp-content/uploads -type f \( -iname '*.php' -o -iname '*.phtml' -o -iname '*.php5' -o -iname '*.php7' \) -print

grep -R --line-number --exclude-dir=cache --exclude-dir=logs '<?php' wp-content/uploads || true

find wp-content/uploads -type f -regextype posix-extended -regex '.*\.(php|phtml|php5|php7|phar|pl|py)$' -print

Vérifiez les fichiers de cœur/plugin/thème modifiés

find . -type f -name '*.php' -mtime -30 -printf '%TY-%Tm-%Td %TT %p

Inspectez les utilisateurs et les options (WP-CLI recommandé)

wp user list --fields=ID,user_login,user_email,roles,user_registered

wp option get active_plugins

Inspectez .htaccess

tail -n 200 .htaccess

Utilisez des scanners de logiciels malveillants pour détecter les modèles de webshell. Mettez en quarantaine les fichiers suspects et examinez leurs horodatages de création et les comptes de téléversement.

Atténuations à court terme que vous pouvez appliquer maintenant

1. Désactivez ou supprimez le plugin — c'est l'atténuation immédiate la plus fiable.
2. Empêchez l'exécution de PHP dans le répertoire des téléchargements :

   Apache (.htaccess sous wp-content/uploads) :

   <FilesMatch "\.(php|phtml|php5|php7|phar)$">
     Deny from all
   </FilesMatch>

   Nginx : ajoutez des règles de localisation pour interdire l'exécution dans les téléchargements ou demandez à votre hébergeur de mettre en œuvre le changement.

3. Supprimez temporairement la capacité upload_files du rôle Éditeur jusqu'à ce que le plugin soit corrigé :

   wp role remove-cap éditeur upload_files

   Remarque : cela réduit la fonctionnalité de l'Éditeur. Communiquez les changements aux équipes de contenu.

4. Renforcez la gestion des téléchargements : limitez les types MIME acceptés et inspectez le contenu à la limite de téléchargement.
5. Appliquez des règles de patch virtuel sur votre WAF ou demandez à votre hébergeur de bloquer les points de terminaison spécifiques aux plugins et les modèles de téléchargement suspects.
6. Surveillez les journaux pour les requêtes POST vers les points de terminaison des plugins, les téléchargements de fichiers inattendus ou les incompatibilités de type de contenu.

Règles / signatures WAF recommandées (conceptuel)

Ce sont des idées de règles de haut niveau pour les opérateurs ; testez d'abord en mode détection pour éviter les faux positifs.

• Bloquez les téléchargements vers le point de terminaison de téléchargement du plugin à moins que l'utilisateur authentifié ne soit un Administrateur ou que la demande provienne d'un ensemble d'IP de confiance. Condition : le chemin de la demande correspond à /wp-content/plugins/docodoco-store-locator/*upload* ou l'action admin-ajax est égale à l'action de téléchargement du plugin.
• Refuser les téléchargements multipart/form-data où la partie fichier contient des balises PHP ouvertes (par exemple, <?php ou des obfuscations courantes).
• Rejeter les noms de fichiers avec des doubles extensions (par exemple, image.php.jpg) ou des extensions exécutables. Utilisez une regex pour correspondre aux extensions non autorisées.
• Appliquer le sniffing MIME : bloquer lorsque le MIME déclaré est image/* mais que l'en-tête du fichier indique text/php.
• Bloquer les agents utilisateurs suspects et les tentatives de téléchargement automatisées répétées vers les chemins du plugin.

Coordonner le déploiement des règles avec votre hébergeur pour éviter les interruptions.

Remédiations à long terme pour les développeurs (pour les auteurs de plugins)

Le développeur doit mettre en œuvre des corrections au niveau du code et un traitement sécurisé des téléchargements :

1. Vérifications strictes des capacités : utilisez toujours current_user_can() avec les capacités appropriées (ne pas se fier aux noms de rôle).
2. Vérification de nonce : vérifiez les nonces WordPress pour les actions modifiant l'état.
3. Utilisez le traitement de téléchargement de base : wp_handle_upload() et wp_check_filetype_and_ext() pour les vérifications MIME et d'extension.
4. Restreindre les types de fichiers acceptés au minimum requis et vérifier le contenu du fichier, pas seulement l'extension.
5. Lorsque cela est possible, stockez les téléchargements en dehors de la racine web et servez-les via un proxy contrôlé qui applique des règles d'accès.
6. Assainir les noms de fichiers (sanitize_file_name()) et empêcher la traversée de répertoires.
7. Assurez-vous que le serveur est configuré pour empêcher l'exécution de fichiers téléchargés dans des répertoires écrits.
8. Journaliser l'activité de téléchargement avec le contexte utilisateur pour l'audit et la réponse aux incidents.
9. Limiter le taux des points de terminaison de téléchargement et mettre en œuvre des protections anti-automatisation.
10. Ajouter des tests unitaires axés sur la sécurité et des examens de sécurité continus.

Nettoyage post-incident : comment être sûr que vous êtes propre

1. Placez le site en mode maintenance et effectuez une sauvegarde complète des fichiers + de la base de données pour analyse judiciaire.
2. Mettez en quarantaine ou bloquez l'accès public si possible.
3. Suivez la liste de contrôle de chasse pour identifier les fichiers suspects, les utilisateurs administrateurs inconnus et le code modifié.
4. Remplacez les fichiers de base, de thème et de plugin modifiés par des copies propres provenant de sources fiables ou réinstallez le cœur de WordPress.
5. Supprimez les utilisateurs suspects et détruisez les sessions actives :

   wp user session détruire

6. Réinitialisez tous les mots de passe administrateur/éditeur et mettez à jour les identifiants externes (FTP, panneau d'hébergement, clés API).
7. Faites tourner les sels et les clés de WordPress dans wp-config.php.
8. Re-scannez le site et les téléchargements après nettoyage.
9. Restaurez à partir d'une sauvegarde propre effectuée avant toute compromission si nécessaire, puis renforcez le site restauré.
10. Surveillez les journaux et le trafic de près pour détecter toute récurrence.

Si vous n'êtes pas sûr du nettoyage, engagez un fournisseur de réponse aux incidents professionnel ou l'équipe de sécurité de votre fournisseur d'hébergement.

Recommandations de détection et de surveillance

• Activez la journalisation des audits pour les actions des utilisateurs (connexions, changements de rôle, téléchargements).
• Surveillez les changements du système de fichiers pour détecter des modifications inattendues dans les plugins, les thèmes et les téléchargements.
• Alertez sur la création de fichiers PHP dans les téléchargements ou d'autres répertoires écrits.
• Surveillez les connexions sortantes inhabituelles du serveur web qui pourraient indiquer une activité de commande et de contrôle.
• Maintenez une base propre et effectuez des vérifications d'intégrité périodiques.

Pourquoi le patching virtuel est important maintenant

Lorsqu'une vulnérabilité est publique et qu'aucun correctif officiel n'existe, un correctif virtuel (via votre WAF, CDN ou hébergeur) peut immédiatement réduire le risque en bloquant les vecteurs d'attaque connus. C'est une mesure temporaire — pas un substitut à l'application d'un correctif de fournisseur en amont lorsqu'il devient disponible. Testez les règles en mode détection avant d'activer le blocage.

Liste de contrôle pratique pour le renforcement (défense en profondeur)

1. Supprimez ou désactivez le plugin vulnérable s'il n'est pas essentiel.
2. Appliquez un patch virtuel via votre hôte, WAF ou appareil de sécurité pour bloquer les téléchargements suspects et les points de terminaison spécifiques au plugin.
3. Renforcez le répertoire de téléchargements pour empêcher l'exécution de PHP.
4. Supprimez la capacité de téléchargement du rôle d'éditeur jusqu'à ce que le plugin soit mis à jour.
5. Forcez les réinitialisations de mot de passe pour les éditeurs et les administrateurs et activez l'authentification multifacteur lorsque cela est possible.
6. Faites tourner les sels, les clés et toutes les informations d'identification associées au site.
7. Activez les journaux d'audit et la surveillance de l'intégrité des fichiers.
8. Assurez-vous que les thèmes et les plugins proviennent de sources fiables et sont à jour.
9. Maintenez des sauvegardes hors site régulières et testées.

Priorisez la réponse en fonction de l'exposition.

• Exposition élevée : sites de contenu généré par les utilisateurs, de nombreux comptes d'éditeur ou trafic élevé — agissez immédiatement : supprimez le plugin, appliquez un patch virtuel et scannez.
• Exposition moyenne : quelques éditeurs de confiance — suivez les mêmes étapes avec coordination pour minimiser les perturbations.
• Exposition faible : les sites à administrateur unique devraient tout de même supprimer ou atténuer le plugin ; ne comptez pas sur un risque perçu comme faible.

Exemple : gestion des téléchargements plus sûre (référence pour les développeurs)

Ce qui suit est un modèle PHP simplifié illustrant une gestion des téléchargements plus sûre. C'est uniquement pour référence des développeurs.

// Exemple : modèle de gestion sécurisée (simplifié)

Plan de communication pour les équipes

• Informez les équipes de contenu et les éditeurs des changements temporaires (capacité de téléchargement supprimée ou restreinte).
• Coordonnez les fenêtres de maintenance pour la suppression ou les mises à jour du plugin afin de minimiser les perturbations opérationnelles.
• Tenez les parties prenantes informées des progrès de la remédiation et de toute preuve de compromission.

Recommandations finales prioritaires

1. Si vous exécutez le plugin vulnérable, supprimez-le ou désactivez-le immédiatement.
2. Appliquez un patch virtuel (règles WAF/hôte) pour bloquer les tentatives de téléchargement ciblant les points de terminaison du plugin.
3. Scannez le répertoire des téléchargements à la recherche de contenu PHP ou suspect et remédiez à toute découverte.
4. Faites tourner les identifiants et imposez des mots de passe forts ainsi qu'une authentification multi-facteurs pour les comptes administrateur/éditeur.
5. Ne réintroduisez la capacité de téléchargement de l'éditeur qu'après avoir supprimé le code vulnérable et validé l'intégrité du site.

Le temps est critique — les scanners automatisés et les attaquants testeront rapidement les vulnérabilités connues et non corrigées. Si vous avez besoin d'aide, contactez un fournisseur de réponse aux incidents de confiance ou l'équipe de sécurité de votre fournisseur d'hébergement pour un soutien immédiat.

— Expert en sécurité de Hong Kong