Publié par UnderNews Actu

Accunetix, une société spécialisée dans la sécurité des applications Web signale la découverte d’une vulnérabilité dans la fonction PingBack du CMS WordPress. Selon le rapport, la vulnérabilité PingBack existe sur la plateforme de blogs WordPress et pourrait conduire à un déni de service distribué (DDoS) ainsi qu’à des fuites de données.

« WordPress possède une API XMLRPC qui peut être consultée dans le fichier xmlrpc.php. Lorsque WordPress traite les pingbacks, il essaie de résoudre l’URL source, et en cas de succès, fera une demande à cette URL afin de vérifier la réponse. S’il trouve un tel lien, il sera publié en commentaire sur ce billet de blog annonçant ainsi que quelqu’un a mentionné le billet sur son site« , explique Bogdan Calin.

HMA Pro VPN

Le PingBack est l’un des trois types de backlinks. Cela permet aux auteurs de garder une trace des liens pointant vers leurs contenus, ou se référant à leurs articles. Certains logiciels de blog, tels que Movable Type, Serendipity, WordPress, et Telligent, soutiennent les pingbacks automatiques lorsqu’un article est publié.

Un nouvel outil a été publié qui automatise la vulnérabilité pingback, exploit distribué sur le site de développement collaboratif Github. Il a été nommé « WordPressPingbackPortScanner« . Cet outil développé en Ruby exploite l’API WordPress et permet à un pirate de scanner d’autres hôtes, plusieurs blogs WordPress et, avec une URL spécifique, de les reconfigurer.

Le bug est déjà signalé à la communauté WordPress, mais le billet sur Softpedia a été fermé après que quelqu’un ait affirmé « qu’il y a tellement de façons d’orchestrer une attaque DDOS. »…

Tous lessite WordPress sont potentiellement en danger, et peuvent être fortement abusé par des attaquants. Depuis les dernières versions, WordPress prend également en charge les informations d’identification d’URL, ainsi, l’attaquant peut employer un lien de type http://admin:admin@192.168.0.1/changeDNS.asp?NewDNS=xxxxxxx afin de reconfigurer les routeurs internes.

Il est à préciser que la désactivation de la fonction PingBack ne réglera pas le problème, la solution est d’attendre un patch.

Cependant, quelqu’un a déjà informé qu’une astuce est possible via le fichier htaccess pour bloquer l’exploitation de la faille :

<files xmlrpc.php= » »>

Order allow,deny

Deny from all

</files>

Related Posts Plugin for WordPress, Blogger...
  • Facebook
  • Twitter
  • Google Buzz
  • MySpace
  • Yahoo Buzz
  • Technorati
  • Netvibes
  • Delicious
  • Digg
  • Windows Live
  • LinkedIn
  • E-Mail

Recherches en relation :

  • pingback wordpress
  • faille pingback wordpress
  • fonctionnalité XML-RPC pingbacks dans WordPress
  • identification des attaquants ping
  • lien wordpress xmlrpc php

Classé dans : Réseau & Sécurité

1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (2 votes, note : 5,00 sur 5)
Loading...Loading...

Mots clés : , , , , , , ,

ARTICLE PRECEDENT

ARTICLE SUIVANT


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.