Infos

WordPress 4.0.1 élimine un bogue XSS critique

L’équipe WordPress a publié la version 4.0.1 de son système de gestion du contenu. Cette nouvelle version élimine une vulnérabilité XSS critique qui permet d’utiliser le champ des commentaires pendant une attaque. Il suffit à l’individu malintentionné de publier sur le site un commentaire contenant un JavaScript malveillant qui se déclenche lorsqu’un utilisateur accède à la page ou lorsque l’administrateur consulte la liste des commentaires dans le panneau.

Le jour de la publication de la mise à jour, Jouko Pynnonen, un chercheur finnoisš a dévoilé, à l’aide d’une diffusion Full Disclosure, certains détails de cette vulnérabilité. "Le scénario d’attaque le plus évident repose sur la création d’un commentaire contenant un JavaScript et plusieurs liens afin que ce commentaire passe devant le modérateur. Les utilisateurs, les systèmes de recherche, etc. ne verront pas ce code d’exploitation. Le JavaScript fonctionne lorsque l’administrateur accède à la section correspondante du volet pour consulter les nouveaux commentaires. Dans ce cas, toutes les opérations dans le cadre de ce script seront réalisées avec les privilèges d’administrateur." écrit Jouko Pynnonen.

Jouko Pynnonen affirme qu’il a pu créer, en compagnie de son collègue Klikki Oy, un code d’exploitation en tant que preuve de concept qui permet de modifier les mots de passe, ajouter des comptes utilisateur ou écrire un code PHP malveillant sur le serveurš l’aide d’un plug-in d’édition dans la console d’administration. Il est possible également de supprimer le script introduit de la base de données. D’après les explications de Jouko Pynnonen, "si l’attaquant écrit un nouveau code PHP sur le serveur à l’aide d’un plug-in d’édition, il pourra l’exécuter directement avec la prochaine requête AJAX et obtenir ainsi un accès au serveur au niveau du système d’exploitation.

Le cross-site scripting est une menace permanente pour la sécurité d’un site. Un pirate qui organise une attaque XSS peut modifier des formulaires en ligne ou d’autres champs HTML sur une page afin d’en prendre les commandes. WordPress autorise par exemple l’utilisation de balises HTML dans les commentaires, ce qui peut être un avantage pour un attaquant. Comme l’explique Johannes Ullrich, de l’Institut SANS, dans un bulletin d’informations : "Cette possibilité peut être très dangereuse. Les développeurs [de WordPress] ont déjà tenté de garantir la sécurité indispensable en acceptant seulement certaines balises et en introduisant la recherche d’attributs dans le code qui ne sont pas fiables. Malheureusement, la mise en œuvre de cette analyse laisse à désirer. Il ne faut pas oublier qu’un code HTML légèrement incorrect peut être interprété parfaitement par le navigateur".

D’après Jouko Pynnonen, cette vulnérabilité XSS est présente dans les versions 3.0 à 3.9.2 et fut introduite il y a quatre ans. La version 4.0.1 élimine trois autres failles de ce type ainsi qu’une vulnérabilité CRSF, DoS lors de la vérification du mot de passe, SSRF (server-side request forgery, substitution de requête du côte serveur) et le risque de collision de caches qui, d’après les développeurs, est très peu probable mais qui pourrait déboucher sur le détournement du compte de l’utilisateur.š

De son côté, Sucuri a publié un bulletin d’informations consacré à une vulnérabilité XSS dans le plug-in WP-Statistics. Le chercheur Marc-Alexandre Montpas prévient que tous les sites WordPress utilisant la version 8.3 ou antérieure contiennent cette vulnérabilité. Elle a été éliminée à partir de la version 8.3.1 du plug-in.

"L’attaquant peut exploiter des vecteurs tels que Stored Cross Site Scripting (XSS) et Reflected XSS pour forcer le navigateur de l’utilisateur à réaliser des actions d’administration en son nom. Cette vulnérabilité permet de créer un ou des comptes avec des privilèges d’administrateur, d’introduire du contenu non sollicité dans des entrées de blog légitime en modifiant l’indexation dans les moteurs de recherche et d’exécuter d’autres actions dans le volet d’administration de WordPress" peut-on lire dans le bulletin d’informations de Sucuri.

Marc-Alexandre Montpas a promis que Sucuri publiera les détails de cette vulnérabilité dans un mois seulement afin de laisser le temps aux utilisateurs de réaliser la mise à jour. Le chercheur explique que ce "plug-in traite mal certaines données récoltées pour les statistiques et le contrôle des visites du site. Si l’attaquant décide d’introduire le JavaScript malveillant dans le paramètre vulnérable, il est conservé dans la base de données. Il apparaîtra tel quel dans le volet d’administration et obligera le navigateur de la victime à réaliser la tâche en son nom en arrière plan."

http://threatpost.com/wordpress-4-0-1-update-patches-critical-xss-vulnerability/109519

WordPress 4.0.1 élimine un bogue XSS critique

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception