WordPress 4.2.1 : Mise à jour pour vulnérabilité critique

3
88

WordPress vient d’annoncer une mise à jour de sécurité critique estampillée 4.2.1. Plusieurs failles de sécurité sont corrigées, dont une qui pourrait permettre à n’importe qui de compromettre un site WordPress, en injectant du code malveillant dans des commentaires.

WordPress 4.2.1, mise à jour critique

Les sites fonctionnant sous WordPress sont régulièrement la cible de pirates informatiques de tous bords, qui exploitent des vulnérabilités (publiques ou 0-Day) sur le CMS lui-même ou bien sur ses nombreux plugins. La récente mise en garde du FBI est d’ailleurs là pour rappeler aux webmasters l’importance de telles attaques, concernant notamment les membres de Daesh via l’opération ISIS.

C’est dans cette optique que Automattic, la société américaine derrière WordPress vient de publier une importante mise à jour estampillée 4.2.1, et recommande vivement le déploiement rapide de celle-ci. L’équipe en charge du projet explique que « les versions 4.1.1 et antérieures sont affectées par une vulnérabilité critique cross-site scripting (XSS), qui pourrait permettre à des utilisateurs anonymes de compromettre un site ».

La faille critique de type XSS peut permettre à n’importe quel internaute malintentionné de prendre le contrôle d’un site en insérant du code malveillant via le module de commentaires. C’est le chercheur en sécurité informatique Finlandais Jouko Pynnönen qui a dévoilé cette vulnérabilité le 27 avril. Il estime qu’elle se rapproche d’une autre faille révélée début 2014, corrigée dernièrement après 14 mois d’attente, découverte par son confrère Cedric van Bockhaven.

Principe d’exploitation de la faille

La faille exploite un dépassement de capacité : un commentaire est tronqué lorsqu’il pèse plus de 64 Ko, y comprit avec les balises HTML autorisées.

Le but est bien entendu d’exécuter du code JavaScript au sein de panneau d’administration (lorsque l’administrateur ou le modérateur va lire le détail d’un commentaire piégé) afin de réaliser des actions malveillantes arbitraires telles que changer le mot de passe de la session utilisateurs en cours, ajouter un compte administrateur, voire utiliser l’éditeur de thèmes et de plugins pour stocker du code PHP malveillant sur le serveur. Des exploits sous forme de PoC sont déjà en circulation…

Ci-dessous, la démonstration vidéo :

Mais ce n’est pas tout puisque trois autres failles sont également corrigées via cette mise à jour de sécurité. WordPress 4.2 est touché par certaines d’entre elles. En même temps, de nombreux plugins ont également été mis à jour à cause d’une autre brèche.

Des plugins touchés

La première vulnérabilité concerne WordPress 4.1 où il est possible d’uploader des fichiers non autorisés. La seconde se trouve sur toutes les moutures 3.9 et plus récentes, et elle prend là aussi la forme d’une brèche XSS, mais à la portée « limitée » d’après l’équipe. Tout aussi inquiétant, « certains plugins étaient vulnérables à une attaque par injection SQL ».

Dans un autre billet, on apprend qu’il s’agit en fait d’une « ambiguïté » dans la documentation des fonctions add_query_arg () et remove_query_arg () que « de nombreux plugins les utilisent à tort, ouvrant la porte à de potentiels vecteurs d’attaque XSS dans leur code ».

De fait, de nombreux plugins ont donc été mis à jour et, en plus de WordPress 4.2.1, il est recommandé de faire un tour de ce côté-là afin de vérifier que tout va bien. On remarquera que, cette fois encore, WordPress ne mentionne absolument pas l’annonce de Malwarebytes sur une campagne d’infection. Pour rappel, le CMS n’avait pas non plus souhaité répondre à nos questions sur le sujet.

Avertissement de confidentialité sur WordPress 4.2

Le site Reflets.info indique une possible alerte à propos d’un avertissement de confidentialité pouvant s’afficher pour les visiteurs de sites WordPress sous Tor Browser.

D’après un sujet sur les forums de WordPress, il semblerait que ce soit lié à la dernière mise à jour de WordPress 4.2, plus précisément à cause de l’intégration de petits gadgets, inutiles à la publication (gravatars et Emoji), qui peut conduire votre navigateur à fournir à au serveur web le moyen d’identifier votre navigateur de manière unique à des fins de tracking.

Ce point est à suivre, mais ne concerne pas directement un problème de sécurité.

Mise à jour

Si vous avez un ou plusieurs sites sous WordPress, mettez à jour automatiquement via l’interface administrateur ou en téléchargeant la nouvelle version 4.2.1 sur le site officiel.

3 Commentaires

  1. Finch Markets le broker sur web est un site classe illicite par l’AMF française et la FCA anglaise, il n’ aucune reconnaissance de la banque de france. leur compte sur la Royal Bank of Scotland a été fermé après avoir dépouillé des naifs clients. Ne leur confier pas de fonds, vous ne pourrez jamais les récuperer.

Les commentaires sont fermés.