Plus d’un million de sites sont exposés à une faille de sécurité détectée dans Jetpack, un plugin WordPress très populaire. Cette faille permettrait d’incorporer un code JavaScript corrompu dans un commentaire d’article.
C’est le cabinet de sécurité Sucuri qui a tiré la sonnette d’alarme, concernant une vulnérabilité critique de type XSS :
« Au cours des audits de recherches régulières pour notre Sucuri Firewall (WAF base Cloud), nous avons découvert une vulnérabilité XSS qui affecte le plugin WordPress Jetpack, actuellement installé sur plus d’un million de sites WordPress. La faille de sécurité peut être facilement exploitée via wp-comments et nous recommandons à chacun de mettre à jour dès que possible, si vous ne l’avez pas encore fait. »
L’équipe de Jetpack a mis en ligne une nouvelle version, notée 4.0.3, qui corrige la vulnérabilité, jugée critique.
La vulnérabilité XSS repérée est dangereuse car elle est dite “stockée” et permet d’introduire des codes malveillants JavaScript, stockés dans la base de données des commentaires du site infecté. Ensuite, ils sont exécutés dès qu’un visiteur affiche la page contenant le commentaire malveillant. A partir de là, les possibilités sont très nombreuses, et le pirate attaquant pourra prendre le contrôle du navigateur des visiteurs, s’approprier leurs cookies, les rediriger, ou injecter toutes sortes d’éléments malveillants. Le pire concerne les administrateurs des sites infectés : ces derniers pourront voir leurs précieux cookies d’identification dérobés puis utilisés par l’attaquant pour accéder librement au backoffice.
Développé par Automattic, la maison mère de WordPress, Jetpack fournit un ensemble d’outils (statistiques, sécurité,…) pour les sites WordPress auto-hébergés. A noter que la présente faille de sécurité ne concerne que les sites qui ont installé le module annexe Jetpack Shortcode Embeds, lequel permet d’insérer du contenu (vidéo, liens, tweets,…) dans les commentaires.
Source : L’Informaticien