dimanche 9 août 2020
Promotion Meilleur VPN 2020
Accueil Réseau & Sécurité WordPress - Une vulnérabilité du PingBack permet des attaques DDoS massives

WordPress – Une vulnérabilité du PingBack permet des attaques DDoS massives

Accunetix, une société spécialisée dans la sécurité des applications Web signale la découverte d’une vulnérabilité dans la fonction PingBack du CMS WordPress. Selon le rapport, la vulnérabilité PingBack existe sur la plateforme de blogs WordPress et pourrait conduire à un déni de service distribué (DDoS) ainsi qu’à des fuites de données.

WordPress possède une API XMLRPC qui peut être consultée dans le fichier xmlrpc.php. Lorsque WordPress traite les pingbacks, il essaie de résoudre l’URL source, et en cas de succès, fera une demande à cette URL afin de vérifier la réponse. S’il trouve un tel lien, il sera publié en commentaire sur ce billet de blog annonçant ainsi que quelqu’un a mentionné le billet sur son site“, explique Bogdan Calin.

Le PingBack est l’un des trois types de backlinks. Cela permet aux auteurs de garder une trace des liens pointant vers leurs contenus, ou se référant à leurs articles. Certains logiciels de blog, tels que Movable Type, Serendipity, WordPress, et Telligent, soutiennent les pingbacks automatiques lorsqu’un article est publié.

Un nouvel outil a été publié qui automatise la vulnérabilité pingback, exploit distribué sur le site de développement collaboratif Github. Il a été nommé “WordPressPingbackPortScanner“. Cet outil développé en Ruby exploite l’API WordPress et permet à un pirate de scanner d’autres hôtes, plusieurs blogs WordPress et, avec une URL spécifique, de les reconfigurer.

Le bug est déjà signalé à la communauté WordPress, mais le billet sur Softpedia a été fermé après que quelqu’un ait affirmé “qu’il y a tellement de façons d’orchestrer une attaque DDOS.”…

Tous lessite WordPress sont potentiellement en danger, et peuvent être fortement abusé par des attaquants. Depuis les dernières versions, WordPress prend également en charge les informations d’identification d’URL, ainsi, l’attaquant peut employer un lien de type http://admin:admin@192.168.0.1/changeDNS.asp?NewDNS=xxxxxxx afin de reconfigurer les routeurs internes.

Il est à préciser que la désactivation de la fonction PingBack ne réglera pas le problème, la solution est d’attendre un patch.

Cependant, quelqu’un a déjà informé qu’une astuce est possible via le fichier htaccess pour bloquer l’exploitation de la faille :

<files xmlrpc.php=””>

Order allow,deny

Deny from all

</files>

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.