CVE-2026-5809: suppression arbitraire de fichiers dans wpForo Forum
Résumé exécutif
Section intitulée « Résumé exécutif »Une vulnérabilité critique (CVE-2026-5809, CVSS 7.1) a été découverte dans l’extension wpForo Forum pour WordPress. Les versions allant jusqu’à la 3.0.2 incluse sont susceptibles d’une attaque de suppression arbitraire de fichiers en raison d’une faille logique dans la gestion des métadonnées des sujets et des messages par l’extension. Un attaquant authentifié peut exploiter cette faille pour supprimer des fichiers sensibles sur le serveur, notamment le fichier wp-config.php.
Analyse technique
Section intitulée « Analyse technique »La vulnérabilité provient d’une faille logique en deux étapes au sein des gestionnaires d’actions de l’extension (topic_add() et topic_edit()) :
- empoisonnement: les gestionnaires acceptent des tableaux fournis par l’utilisateur via
$_REQUESTet les stockent en tant que postmeta sans restreindre les champs de saisie. Un attaquant peut injecter un paramètredata[body][fileurl]contenant un chemin arbitraire. - exécution: lorsqu’un utilisateur déclenche
wpftcf_delete[]=body, la méthodeadd_file()récupère lefileurlempoisonné. Le chemin est transmis à une fonction de validation insuffisante (wpforo_fix_upload_dir()), qui ne parvient pas à intercepter les chemins ne provenant pas d’un upload avant d’appelerwp_delete_file().
Exploitation
Section intitulée « Exploitation »L’exploitation nécessite un attaquant authentifié disposant au moins d’un accès de niveau abonné (subscriber). En envoyant une requête topic_edit malveillante avec le paramètre wpftcf_delete[]=body, l’attaquant force le serveur à supprimer le fichier spécifié dans les métadonnées fileurl injectées.
Détection
Section intitulée « Détection »Requête de Threat Hunting (Splunk/ELK)
Section intitulée « Requête de Threat Hunting (Splunk/ELK) »index=web_logs uri_path="*/wp-admin/admin-ajax.php*" OR uri_path="*/wpforo/*"| search "fileurl" OR "wpftcf_delete"| stats count by src_ip, user_agent, urlAtténuation
Section intitulée « Atténuation »- mise à jour: mettre immédiatement à jour l’extension wpForo Forum vers la dernière version corrigée.
- validation: s’assurer que toutes les entrées de métadonnées personnalisées sont strictement validées par rapport à des listes d’autorisation (allow-lists) pour empêcher l’injection de chemins arbitraires.