Smash Balloon Social Post Feed, un plugin WordPress, a été découvert comme ayant une vulnérabilité qui exposait les sites Web à permettre à un attaquant de télécharger des scripts malveillants. Les chercheurs en sécurité de Jetpack ont ​​découvert la vulnérabilité et ont informé les éditeurs de plugins qui l’ont corrigé et ont publié une version corrigée, la version 4.0.1. Les versions antérieures à celle-ci sont vulnérables.

Flux de publication sociale Smash Balloon

Le plugin WordPress Smash Balloon Social Post Feed prend les flux Facebook et les transforme en publications sur un site WordPress.

La version gratuite du plugin est conçue pour afficher les publications Facebook d’une manière qui correspond à l’apparence du site sur lequel le contenu Facebook est republié. La version « pro » payante republie également des images, des vidéos et des commentaires.

Script intersite stocké via la mise à jour des paramètres arbitraires

Un exploit Stored Cross‑Site Scripting (Stored XSS) est une forme de vulnérabilité de script intersite qui permet à un attaquant malveillant de télécharger et de stocker en permanence des scripts nuisibles sur le serveur lui-même.

Le projet Open Web Application Security Project (OWASP) à but non lucratif décrit les vulnérabilités de Stored XSS :

« Les attaques stockées sont celles où le script injecté est stocké en permanence sur les serveurs cibles, comme dans une base de données….

La victime récupère ensuite le script malveillant sur le serveur lorsqu’il demande les informations stockées.

Contrôles de privilège et nonce manquants

L’avertissement de sécurité publié par Jetpack a annoncé que le plugin WordPress Smash Balloon Social Post Feed avait deux problèmes de sécurité qui en faisaient un problème de sécurité. Les chèques Privilege et Nonce manquaient.

Les attaques XSS peuvent généralement se produire partout où il existe un moyen de télécharger ou de saisir quelque chose sur un site WordPress. Cela peut être via un formulaire, dans des commentaires, partout où un utilisateur peut saisir des données.

Un plugin WordPress est censé protéger le site en effectuant des vérifications, parmi lesquelles une vérification du niveau de privilège d’un utilisateur (abonné, éditeur, administrateur).

Sans une vérification des privilèges appropriée, un utilisateur au niveau le plus bas, comme un abonné, est en mesure d’effectuer des actions qui nécessitent normalement les niveaux d’accès les plus élevés, tels que les privilèges de niveau administrateur.

Un nonce est un jeton de sécurité à usage unique destiné à protéger les entrées des attaques.

La documentation WordPress Nonce explique la valeur des nonces :

« Si votre thème permet aux utilisateurs de soumettre des données ; que ce soit dans l’Admin ou le front-end ; les nonces peuvent être utilisés pour vérifier qu’un utilisateur a l’intention d’effectuer une action et contribuent à la protection contre la falsification de requête intersite (CSRF).

Un exemple est un site WordPress dans lequel les utilisateurs autorisés sont autorisés à télécharger des vidéos.

Jetpack a identifié une vulnérabilité dans le plugin Smash Balloon qui n’a pas réussi à effectuer les vérifications de privilèges et de nonce, ce qui a ouvert le site à l’attaque.

Jetpack a décrit comment la vulnérabilité a exposé les sites Web :

« L’action AJAX wp_ajax_cff_save_settings, qui est responsable de la mise à jour des paramètres internes du plugin, n’a effectué aucune vérification de privilège ou nonce avant de le faire. Cela a permis à tous les utilisateurs connectés d’appeler cette action et de mettre à jour l’un des paramètres du plugin.

Malheureusement, l’un de ces paramètres, customJS, permet aux administrateurs de stocker du JavaScript personnalisé sur les publications et les pages de leur site. La mise à jour de ce paramètre est tout ce qu’il aurait fallu à un mauvais acteur pour stocker des scripts malveillants sur le site.

Le journal des modifications du plug-in WordPress Smash Balloon Social Post Feed, qui enregistre le contenu de chaque mise à jour de version, indique correctement qu’un problème de sécurité a été résolu.

Non seulement il est responsable de corriger les vulnérabilités en temps opportun, ce que Smash Balloon a fait, mais il est également responsable de le noter dans le journal des modifications, ce que Smash Balloon a également fait.

Le journal des modifications indique :

« Correctif : renforcement de la sécurité amélioré. »

Capture d’écran de Smash Balloon Social Post Feed Changelog

Capture d'écran du journal des modifications du plugin Smash Balloon Social Post Feed

Action recommandée

Smash Balloon Social Post Feed a récemment été corrigé pour corriger l’attaque Stored XSS qui permet de télécharger des scripts malveillants.

Jetpack recommande de mettre à jour le flux de publication sociale Smash Balloon vers la dernière version à ce jour, qui est la version 4.0.1. Ne pas le faire peut rendre une installation WordPress dangereuse.

Citations

Avis de sécurité Jetpack

Problèmes de sécurité corrigés dans le plugin Smash Balloon Social Post Feed

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici