WordPress 4.0.1 élimine un bogue XSS critique

L’équipe WordPress a publié la version 4.0.1 de son système de gestion du contenu. Cette nouvelle version élimine une vulnérabilité XSS critique qui permet d’utiliser le champ des commentaires pendant une attaque. Il suffit à l’individu malintentionné de publier sur le site un commentaire contenant un JavaScript malveillant qui se déclenche lorsqu’un utilisateur accède à la page ou lorsque l’administrateur consulte la liste des commentaires dans le panneau.

Le jour de la publication de la mise à jour, Jouko Pynnonen, un chercheur finnoisš a dévoilé, à l’aide d’une diffusion Full Disclosure, certains détails de cette vulnérabilité. "Le scénario d’attaque le plus évident repose sur la création d’un commentaire contenant un JavaScript et plusieurs liens afin que ce commentaire passe devant le modérateur. Les utilisateurs, les systèmes de recherche, etc. ne verront pas ce code d’exploitation. Le JavaScript fonctionne lorsque l’administrateur accède à la section correspondante du volet pour consulter les nouveaux commentaires. Dans ce cas, toutes les opérations dans le cadre de ce script seront réalisées avec les privilèges d’administrateur." écrit Jouko Pynnonen.

Jouko Pynnonen affirme qu’il a pu créer, en compagnie de son collègue Klikki Oy, un code d’exploitation en tant que preuve de concept qui permet de modifier les mots de passe, ajouter des comptes utilisateur ou écrire un code PHP malveillant sur le serveurš l’aide d’un plug-in d’édition dans la console d’administration. Il est possible également de supprimer le script introduit de la base de données. D’après les explications de Jouko Pynnonen, "si l’attaquant écrit un nouveau code PHP sur le serveur à l’aide d’un plug-in d’édition, il pourra l’exécuter directement avec la prochaine requête AJAX et obtenir ainsi un accès au serveur au niveau du système d’exploitation.

Le cross-site scripting est une menace permanente pour la sécurité d’un site. Un pirate qui organise une attaque XSS peut modifier des formulaires en ligne ou d’autres champs HTML sur une page afin d’en prendre les commandes. WordPress autorise par exemple l’utilisation de balises HTML dans les commentaires, ce qui peut être un avantage pour un attaquant. Comme l’explique Johannes Ullrich, de l’Institut SANS, dans un bulletin d’informations : "Cette possibilité peut être très dangereuse. Les développeurs [de WordPress] ont déjà tenté de garantir la sécurité indispensable en acceptant seulement certaines balises et en introduisant la recherche d’attributs dans le code qui ne sont pas fiables. Malheureusement, la mise en œuvre de cette analyse laisse à désirer. Il ne faut pas oublier qu’un code HTML légèrement incorrect peut être interprété parfaitement par le navigateur".

D’après Jouko Pynnonen, cette vulnérabilité XSS est présente dans les versions 3.0 à 3.9.2 et fut introduite il y a quatre ans. La version 4.0.1 élimine trois autres failles de ce type ainsi qu’une vulnérabilité CRSF, DoS lors de la vérification du mot de passe, SSRF (server-side request forgery, substitution de requête du côte serveur) et le risque de collision de caches qui, d’après les développeurs, est très peu probable mais qui pourrait déboucher sur le détournement du compte de l’utilisateur.š

De son côté, Sucuri a publié un bulletin d’informations consacré à une vulnérabilité XSS dans le plug-in WP-Statistics. Le chercheur Marc-Alexandre Montpas prévient que tous les sites WordPress utilisant la version 8.3 ou antérieure contiennent cette vulnérabilité. Elle a été éliminée à partir de la version 8.3.1 du plug-in.

"L’attaquant peut exploiter des vecteurs tels que Stored Cross Site Scripting (XSS) et Reflected XSS pour forcer le navigateur de l’utilisateur à réaliser des actions d’administration en son nom. Cette vulnérabilité permet de créer un ou des comptes avec des privilèges d’administrateur, d’introduire du contenu non sollicité dans des entrées de blog légitime en modifiant l’indexation dans les moteurs de recherche et d’exécuter d’autres actions dans le volet d’administration de WordPress" peut-on lire dans le bulletin d’informations de Sucuri.

Marc-Alexandre Montpas a promis que Sucuri publiera les détails de cette vulnérabilité dans un mois seulement afin de laisser le temps aux utilisateurs de réaliser la mise à jour. Le chercheur explique que ce "plug-in traite mal certaines données récoltées pour les statistiques et le contrôle des visites du site. Si l’attaquant décide d’introduire le JavaScript malveillant dans le paramètre vulnérable, il est conservé dans la base de données. Il apparaîtra tel quel dans le volet d’administration et obligera le navigateur de la victime à réaliser la tâche en son nom en arrière plan."

http://threatpost.com/wordpress-4-0-1-update-patches-critical-xss-vulnerability/109519

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *