Vulnérabilité XSS stockée dans WordPress : Mettre à jour maintenant

WordPress a annoncé une mise à jour de sécurité pour corriger deux vulnérabilités qui pourraient offrir à un attaquant la possibilité d’organiser une prise de contrôle complète du site. Parmi les deux vulnérabilités, la plus grave implique une vulnérabilité de script intersite stocké (Stored XSS).

Vulnérabilité de script intersite stocké dans WordPress (XSS)

La vulnérabilité WordPress XSS a été découverte par l’équipe de sécurité de WordPress dans les fichiers principaux de WordPress. Une vulnérabilité XSS stockée est une vulnérabilité dans laquelle un attaquant est capable de télécharger un script directement sur le site Web WordPress. Les emplacements de ces types de vulnérabilités se trouvent généralement partout où le site WordPress autorise la saisie, comme la soumission d’un message ou d’un formulaire de contact. Généralement, ces formulaires de saisie sont protégés par ce qu’on appelle la désinfection. Le nettoyage est simplement un processus permettant à l’entrée d’accepter uniquement certains types d’entrée, comme du texte, et de rejeter (filtrer) d’autres types d’entrée comme un fichier JavaScript. Selon Wordfence, les fichiers WordPress concernés ont effectué une désinfection afin d’interdire le téléchargement de fichiers malveillants. Mais l’ordre dans lequel la désinfection s’est produite a créé une situation où la désinfection pouvait être contournée.

Wordfence a offert cet aperçu du correctif qui corrige cette vulnérabilité  :

« La version corrigée exécute wp_filter_global_styles_post avant wp_filter_post_kses afin que tous les contournements potentiels aient déjà été traités et que wp_kses puisse les désinfecter efficacement. » La raison pour laquelle un attaquant peut télécharger un script est souvent due à un bogue dans la façon dont un fichier a été codé. Lorsqu’un utilisateur de site Web avec des privilèges d’administrateur visite le site Web exploité, le fichier JavaScript malveillant téléchargé s’exécute et peut, avec l’accès de niveau administrateur de cet utilisateur, prendre le contrôle du site, créer un nouveau compte de niveau administrateur et installer des portes dérobées. Une porte dérobée est un fichier/code qui permet à un pirate d’accéder à volonté au backend d’un site WordPress avec un accès complet.

Vulnérabilité prototype à la pollution

Le deuxième problème découvert dans WordPress s’appelle une vulnérabilité de pollution prototype. Ce type de vulnérabilité est une faille dans le JavaScript (ou une bibliothèque JavaScript) contre le site Web. Ce deuxième problème est en fait deux problèmes qui sont tous deux des vulnérabilités prototypes à la pollution. L’une est une vulnérabilité de prototype de pollution découverte dans le package Gutenberg wordpress/url. Il s’agit d’un module de WordPress qui permet à un site Web WordPress de manipuler des URL. Par exemple, ce package Gutenberg wordpress/url fournit diverses fonctionnalités pour les chaînes de requête et effectue un nettoyage sur le slug d’URL pour faire des choses comme convertir les lettres majuscules en minuscules. La seconde est une vulnérabilité Prototype Pollution dans jQuery. Cette vulnérabilité est corrigée dans jQuery 2.2.3. Wordfence déclare qu’ils ne sont au courant d’aucun exploit de cette vulnérabilité et déclare que la complexité de l’exploitation de cette vulnérabilité spécifique rend peu probable qu’elle soit un problème.

L’analyse de vulnérabilité de Wordfence a conclu  :

« Un attaquant capable d’exécuter avec succès JavaScript dans le navigateur d’une victime pourrait potentiellement prendre le contrôle d’un site, mais la complexité d’une attaque pratique est élevée et nécessiterait probablement l’installation d’un composant vulnérable distinct.  »

Quelle est la gravité de la vulnérabilité XSS stockée dans WordPress ?

Cette vulnérabilité particulière nécessite un utilisateur disposant d’un accès de niveau contributeur afin d’avoir le niveau d’autorisation nécessaire pour télécharger un script malveillant. Il y a donc une étape supplémentaire nécessaire sous la forme d’avoir d’abord à acquérir un identifiant de connexion de niveau contributeur afin de passer à l’étape suivante d’exploitation de la vulnérabilité XSS stockée. Bien que l’étape supplémentaire puisse rendre la vulnérabilité plus difficile à exploiter, tout ce qui se dresse entre une sécurité relative et une prise de contrôle complète du site est la force et la complexité des mots de passe des contributeurs.

Mise à jour vers WordPress 5.9.2

«  » L’annonce officielle de WordPress recommande à tous les éditeurs de mettre à jour leur installation vers la version 5.9.2 de WordPress. Certains sites peuvent avoir des mises à jour automatiques activées et les sites sont actuellement protégés. Mais ce n’est pas le cas pour tous les sites car de nombreux sites nécessitent une personne disposant d’un accès de niveau administrateur pour approuver la mise à jour et la mettre en marche. Il peut donc être prudent de vous connecter à votre site Web et de vérifier s’il utilise actuellement la version 5.9.2. Si le site Web n’utilise pas la version 5.9.2, les prochaines étapes à considérer sont la sauvegarde du site Web lui-même, puis la mise à jour vers les dernières versions. Cela dit, certains ajouteront une couche de sécurité supplémentaire en mettant d’abord à jour une copie du site sur un serveur intermédiaire et en examinant la version de test mise à jour pour s’assurer qu’il n’y a pas de conflits avec les plugins et les thèmes actuellement installés. Généralement, après une mise à jour importante de WordPress, les plugins et les thèmes peuvent publier des mises à jour afin de résoudre les problèmes. Néanmoins, WordPress recommande de mettre à jour dès que possible.

Citations

Lire l’annonce officielle de WordPress.org

Version de sécurité et de maintenance de WordPress 5.9.2

Lire l’explication Wordfence des vulnérabilités

La mise à jour de sécurité WordPress 5.9.2 corrige les vulnérabilités XSS et Prototype Pollution

Résumé de la version officielle de WordPress 5.9.2

Version WordPress 5.9.2

Examinez la documentation de correction de bogues WordPress

Problème d’affichage du bouton d’aperçu en direct

En savoir plus sur le package d’URL WordPress Gutenberg

Forfait Gutenberg wordpress/url

Tags: