Vulnérabilité de gravité élevée du plugin WordPress Nested Pages

La base de données nationale américaine sur les vulnérabilités (NVD) et Wordfence ont publié un avis de sécurité concernant une vulnérabilité de gravité élevée de type Cross Site Request Forgery (CSRF) affectant le plugin WordPress Nested Pages et affectant jusqu’à +100 000 installations. La vulnérabilité a reçu une note CVSS (Common Vulnerability Scoring System) de 8,8 sur une échelle de 1 à 10, dix représentant le niveau de gravité le plus élevé.

Falsification de requête intersite (CSRF)

Le Cross Site Request Forgery (CSRF) est un type d’attaque qui exploite une faille de sécurité dans le plugin Nested Pages qui permet aux attaquants non authentifiés d’appeler (exécuter) des fichiers PHP, qui sont les fichiers de niveau code de WordPress. Il y a une validation nonce manquante ou incorrecte, qui est une fonctionnalité de sécurité courante utilisée dans les plugins WordPress pour sécuriser les formulaires et les URL. Une deuxième faille dans le plugin est une fonctionnalité de sécurité manquante appelée nettoyage. Le nettoyage est une méthode de sécurisation des données d’entrée ou de sortie qui est également courante dans les plugins WordPress mais qui, dans ce cas, est manquante. Selon Wordfence : « Cela est dû à une validation nonce manquante ou incorrecte sur la fonction ‘settingsPage’ et à une vérification manquante du paramètre ‘tab’. » L’attaque CSRF repose sur le fait qu’un utilisateur WordPress connecté (comme un administrateur) clique sur un lien qui permet à son tour à l’attaquant de terminer l’attaque. Cette vulnérabilité est classée 8.8, ce qui en fait une menace de gravité élevée. Pour mettre cela en perspective, un score de 8,9 correspond à une menace de niveau critique, ce qui est un niveau encore plus élevé. Ainsi, à 8,8, on est juste en deçà d’une menace de niveau critique. Cette vulnérabilité affecte toutes les versions du plug-in Nested Pages jusqu’à la version 3.2.7 incluse. Les développeurs du plug-in ont publié un correctif de sécurité dans la version 3.2.8 et ont publié de manière responsable les détails de la mise à jour de sécurité dans leur journal des modifications. Le journal des modifications officiel documente le correctif de sécurité : « Mise à jour de sécurité traitant du problème CSRF dans les paramètres du plug-in »

Lisez l’avis sur Wordfence

Pages imbriquées