WordPress a annoncé une mise à jour de sécurité pour corriger deux vulnérabilités qui pourraient offrir à un attaquant la possibilité d’organiser une prise de contrôle complète du site WordPress.
Parmi les deux vulnérabilités, la plus grave concerne une vulnérabilité de scripting intersite stocké (Stored XSS ou stored cross site scripting).
Vulnérabilité Stored XSS dans WordPress
La vulnérabilité WordPress XSS a été découverte par l’équipe de sécurité WordPress dans les fichiers core de WordPress.
Une vulnérabilité Stored XSS est une vulnérabilité dans laquelle un attaquant est capable de télécharger un script directement sur le site Web WordPress.
Les emplacements de ces types de vulnérabilités sont généralement partout où le site WordPress permet de faire des saisies, comme la soumission d’un message ou d’un formulaire de contact.
Généralement, ces formulaires de saisie sont protégés par ce qu’on appelle la désinfection.
La désinfection est simplement un processus permettant de faire en sorte que l’entrée n’accepte que certains types d’entrée, comme le texte, et de rejeter (filtrer) d’autres types d’entrée comme un fichier JavaScript.
D’après Wordfence, les fichiers WordPress affectés ont effectué une désinfection afin d’interdire le téléchargement de fichiers malveillants. Mais l’ordre dans lequel la désinfection s’est produite a mis en place une situation où la désinfection pouvait être contournée.
Wordfence a offert cet aperçu du correctif qui corrige cette vulnérabilité :
La version corrigée exécute wp_filter_global_styles_post avant wp_filter_post_kses afin que tous les contournements potentiels aient déjà été traités et que wp_kses puisse les désinfecter efficacement.
La raison pour laquelle un attaquant peut télécharger un script est souvent due à un bug dans la façon dont un fichier a été codé.
Lorsqu’un utilisateur de site Web disposant de privilèges d’administrateur visite le site Web exploité, le fichier JavaScript malveillant téléchargé s’exécute et peut, avec l’accès de niveau administrateur de cet utilisateur, faire des choses comme prendre le contrôle du site, créer un nouveau compte de niveau administrateur et installer des portes dérobées.
Une porte dérobée est un fichier / code qui permet à un pirate d’accéder au backend d’un site WordPress à volonté avec un accès complet.
Vulnérabilité de Prototype Pollution
Le deuxième problème découvert dans WordPress s’appelle une vulnérabilité de Prototype Pollution. Ce type de vulnérabilité est une faille dans le JavaScript (ou une bibliothèque JavaScript) contre le site Web.
Ce deuxième problème est en fait deux problèmes qui sont tous deux des vulnérabilités de Prototype Pollution.
- La première est un prototype de vulnérabilité de pollution découvert dans le paquet wordpress/url de Gutenberg. Il s’agit d’un module au sein de WordPress qui permet à un site Web WordPress de manipuler les URL.Par exemple, ce paquet wordpress/ url de Gutenberg fournit diverses fonctionnalités pour les chaînes de requête et effectue un nettoyage sur le slug d’URL pour faire des choses comme convertir des lettres majuscules en minuscules.
- La seconde est une vulnérabilité prototype de pollution dans jQuery. Cette vulnérabilité est corrigée dans jQuery 2.2.3.
Wordfence déclare qu’ils ne sont au courant d’aucun exploit de cette vulnérabilité et déclare que la complexité de l’exploitation de cette vulnérabilité spécifique rend peu probable qu’il s’agisse d’un problème.
Wordfence conclut :
Un attaquant capable d’exécuter JavaScript dans le navigateur d’une victime pourrait potentiellement prendre le contrôle d’un site, mais la complexité d’une attaque pratique est élevée et nécessiterait probablement l’installation d’un composant vulnérable distinct.
Quelle est la gravité de la vulnérabilité Stored XSS ?
Cette vulnérabilité particulière nécessite un utilisateur disposant d’un accès de niveau contributeur afin de disposer du niveau d’autorisation nécessaire pour télécharger un script malveillant.
Il y a donc une étape supplémentaire nécessaire sous la forme d’avoir d’abord à acquérir une information d’identification de connexion au niveau du contributeur afin de passer à l’étape suivante de l’exploitation de la vulnérabilité Stored XSS.
Bien que l’étape supplémentaire puisse rendre la vulnérabilité plus difficile à exploiter, tout ce qui se trouve entre la sécurité relative et une prise de contrôle complète du site est la force et la complexité des mots de passe des contributeurs.
Mise à jour vers WordPress 5.9.2
La dernière version de WordPress, 5.9.2, corrige ces deux problèmes liés à la sécurité et corrige un bug qui pourrait entraîner un message d’erreur pour les sites utilisant le thème Twenty Twenty Two.
Un ticket de suivi WordPress explique le bug comme ceci :
Avoir un ancien thème par défaut activé, puis cliquer pour prévisualiser Twenty Twenty Two m’a donné un écran d’erreur avec un fond gris avec une boîte de notification blanche disant « Le thème que vous utilisez actuellement n’est pas compatible avec l’édition complète du site ».
L’annonce officielle de WordPress recommande à tous les éditeurs de mettre à jour leur installation vers WordPress version 5.9.2. Certains sites peuvent avoir des mises à jour automatiques activées et les sites sont alors actuellement protégés.
Mais ce n’est pas le cas pour tous les sites, car de nombreux sites nécessitent une personne disposant d’un accès de niveau administrateur pour approuver la mise à jour et la mettre en mouvement. Il peut donc être prudent de se connecter à votre site Web WordPress et vérifier s’il utilise actuellement la version 5.9.2.
Si le site Web n’utilise pas la version 5.9.2, les étapes suivantes à prendre en compte sont la sauvegarde du site Web lui-même, puis la mise à jour vers les dernières versions.
L’annonce officielle de WordPress recommande à tous les éditeurs de mettre à jour leur installation vers WordPress version 5.9.2.
Vous devez être connecté pour poster un commentaire.