La vulnérabilité dans WordPress Le plugin Google Analytics touche plus de 3 millions de sites Web

La base de données nationale des vulnérabilités a annoncé qu’un plugin WordPress Google Analytics populaire installé dans plus de 3 millions de personnes a été découvert pour contenir une vulnérabilité de script intersite stocké (XSS).

XSS stocké

Une attaque de type Cross-Site Scripting (XSS) se produit généralement lorsqu’une partie du site Web qui accepte les entrées de l’utilisateur n’est pas sécurisée et permet des entrées imprévues, comme des scripts ou des liens. La vulnérabilité XSS peut être exploitée pour obtenir un accès non autorisé à un site Web et peut entraîner le vol de données utilisateur ou une prise de contrôle complète du site. L’organisation à but non lucratif Open Worldwide Application Security Project (OWASP) décrit le fonctionnement de la vulnérabilité XSS : « Un attaquant peut utiliser XSS pour envoyer un script malveillant à un utilisateur sans méfiance. Le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script ne doit pas être approuvé et exécutera le script. Parce qu’il pense que le script provient d’une source fiable, le script malveillant peut accéder à tous les cookies, jetons de session ou autres informations sensibles conservés par le navigateur et utilisés avec ce site. Un XSS stocké, qui est sans doute pire, est celui dans lequel le script malveillant est stocké sur les serveurs du site Web lui-même. Le plugin, MonsterInsights – Google Analytics Dashboard pour WordPress, a été découvert pour avoir la version XSS stockée de la vulnérabilité.

MonsterInsights – Tableau de bord Google Analytics pour la vulnérabilité de WordPress

Le plug-in MonsterInsights Google Analytics est installé sur plus de trois millions de sites Web, ce qui rend cette vulnérabilité plus préoccupante.
La société WordPress Security, Patchstack, qui a découvert la vulnérabilité, a publié les détails :
« Rafie Muhammad (Patchstack) a découvert et signalé cette vulnérabilité de type Cross Site Scripting (XSS) dans WordPress Google Analytics par MonsterInsights Plugin. Cela pourrait permettre à un acteur malveillant d’injecter des scripts malveillants, tels que des redirections, des publicités et d’autres charges utiles HTML dans votre site Web, qui seront exécutés lorsque des invités visiteront votre site. Cette vulnérabilité a été corrigée dans la version 8.14.1. Le journal des modifications du plug-in MonsterInsights sur le référentiel de plug-ins WordPress offrait une explication quelque peu vague du correctif de sécurité : « Corrigé : nous avons corrigé une erreur d’avertissement PHP et ajouté un renforcement de sécurité supplémentaire. » Un « renforcement de la sécurité » est un terme qui peut être appliqué à de nombreuses tâches liées à la réduction des vecteurs d’attaque, telles que la suppression du numéro de version. WordPress a publié une page entière sur le renforcement de la sécurité qui recommande des tâches de renforcement de la sécurité telles que des sauvegardes régulières de la base de données, l’obtention de thèmes et de plugins à partir de sources fiables et l’utilisation de mots de passe forts. Toutes ces activités renforcent la sécurité. C’est pourquoi l’utilisation de l’expression «renforcement de la sécurité» est un terme général et générique à utiliser pour quelque chose d’aussi spécifique (et important) que la correction d’une vulnérabilité de sécurité XSS, ce qui pourrait amener un utilisateur à ignorer la mise à jour de son plugin.

Action recommandée

Patchstack recommande à tous les utilisateurs du plugin MonsterInsights Analytics de mettre immédiatement à jour leur plugin WordPress vers la dernière version ou au moins la version 8.14.1.
Lisez l’annonce de la base de données nationale américaine sur les vulnérabilités :
CVE-2023-23999 Détail

Lisez l’annonce de Patchstack :

WordPress Google Analytics par MonsterInsights Plugin