Accueil Tags Vulnérabilités

Tag: Vulnérabilités

WordPress atteint de multiples vulnérabilités dans les versions antérieures à 6.0.3

0

WordPress a publié une version de sécurité pour résoudre plusieurs vulnérabilités découvertes dans les versions de WordPress antérieures à 6.0.3. WordPress a également mis à jour toutes les versions depuis WordPress 3.7.

Vulnérabilité de script intersite (XSS)

La base de données nationale des vulnérabilités du gouvernement américain a publié des avertissements de multiples vulnérabilités affectant WordPress.

Il existe plusieurs types de vulnérabilités affectant WordPress, y compris un type connu sous le nom de Cross Site Scripting, souvent appelé XSS.

Une vulnérabilité de script intersite survient généralement lorsqu’une application Web telle que WordPress ne vérifie pas (nettoie) correctement ce qui est entré dans un formulaire ou téléchargé via une entrée de téléchargement.

Un attaquant peut envoyer un script malveillant à un utilisateur qui visite le site qui exécute ensuite le script malveillant, fournissant alors des informations sensibles ou des cookies contenant les informations d’identification de l’utilisateur à l’attaquant.

Une autre vulnérabilité découverte est appelée Stored XSS, qui est généralement considérée comme pire qu’une attaque XSS classique.

Avec une attaque XSS stockée, le script malveillant est stocké sur le site Web lui-même et est exécuté lorsqu’un utilisateur ou un utilisateur connecté visite le site Web.

Une vulnérabilité de troisième type découverte est appelée Cross-Site Request Forgery (CSRF).

Le site Web de sécurité Open Web Application Security Project (OWASP) à but non lucratif décrit ce type de vulnérabilité :

« Cross-Site Request Forgery (CSRF) est une attaque qui force un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié.

Avec un peu d’aide d’ingénierie sociale (comme l’envoi d’un lien par e-mail ou chat), un attaquant peut inciter les utilisateurs d’une application Web à exécuter les actions de son choix.

Si la victime est un utilisateur normal, une attaque CSRF réussie peut forcer l’utilisateur à effectuer des demandes de changement d’état telles que le transfert de fonds, la modification de son adresse e-mail, etc.

Si la victime est un compte administratif, CSRF peut compromettre l’intégralité de l’application Web.

Voici les vulnérabilités découvertes :

  1. XSS stocké via wp-mail.php (poster par email)
  2. Ouvrir la redirection dans `wp_nonce_ays`
  3. L’adresse e-mail de l’expéditeur est exposée dans wp-mail.php
  4. Médiathèque – XSS réfléchi via SQLi
  5. Cross-Site Request Forgery (CSRF) dans wp-trackback.php
  6. XSS stocké via le Customizer
  7. Rétablir les instances d’utilisateur partagées introduites dans 50790
  8. XSS stocké dans WordPress Core via l’édition de commentaires
  9. Exposition des données via le point de terminaison REST Terms/Tags
  10. Fuite de contenu d’e-mails en plusieurs parties
  11. Injection SQL en raison d’un nettoyage incorrect dans `WP_Date_Query`
  12. Widget RSS : problème XSS stocké
  13. XSS stocké dans le bloc de recherche
  14. Bloc d’image de fonctionnalité : problème XSS
  15. Bloc RSS : problème XSS stocké
  16. Correction du bloc de widget XSS

Action recommandée

WordPress a recommandé à tous les utilisateurs de mettre à jour leurs sites Web immédiatement.

L’annonce officielle de WordPress indiquait :

« Cette version comporte plusieurs correctifs de sécurité. Comme il s’agit d’une version de sécurité, il est recommandé de mettre à jour vos sites immédiatement.

Toutes les versions depuis WordPress 3.7 ont également été mises à jour.

Lisez l’annonce officielle de WordPress ici :

Version de sécurité de WordPress 6.0.3

Lisez les entrées de la base de données nationale des vulnérabilités pour ces vulnérabilités :

CVE-2022-43504

CVE-2022-43500

CVE-2022-43497

Google partage de nouvelles informations sur les vulnérabilités trouvées dans Chrome

0

Les chercheurs en sécurité de Google partagent de nouvelles informations sur les vulnérabilités détectées dans Chrome, Firefox et Windows.

Dans un article de blog, Google et Threat Analysis Group (TAG) détaillent les étapes suivies depuis la découverte d’une opération de logiciel espion commercial liée à Variston IT.

Basé à Barcelone, en Espagne, Variston IT prétend fournir des solutions de sécurité personnalisées. Cependant, la société est connectée à un cadre d’exploitation appelé « Heliconia ».

Heliconia fonctionne de trois manières :

  • Il exploite un bogue du moteur de rendu Chrome pour exécuter des logiciels malveillants sur le système d’exploitation d’un utilisateur.
  • Il déploie un document PDF malveillant contenant un exploit pour Windows Defender.
  • Il utilise un ensemble d’exploits Firefox pour les machines Windows et Linux.

L’exploit Heliconia a été utilisé dès décembre 2018 avec la sortie de Firefox 64.

De nouvelles informations publiées par Google révèlent que Heliconia a probablement été utilisé dans la nature comme un exploit zero-day.

Heliconia ne présente aujourd’hui aucun risque pour les utilisateurs, car Google affirme ne pas pouvoir détecter une exploitation active. Google, Mozilla et Microsoft ont corrigé les bugs au début de 2021 et 2022.

Bien que Heliconia soit corrigé, les logiciels espions commerciaux sont un problème croissant, déclare Google :

« Les recherches de TAG soulignent que l’industrie de la surveillance commerciale est florissante et s’est considérablement développée ces dernières années, créant des risques pour les internautes du monde entier. Les logiciels espions commerciaux mettent des capacités de surveillance avancées entre les mains des gouvernements qui les utilisent pour espionner les journalistes, les militants des droits de l’homme, l’opposition politique et les dissidents.

Pour vous protéger contre Heliconia et d’autres exploits similaires, il est essentiel de maintenir à jour vos navigateurs Internet et votre système d’exploitation.

Les recherches de TAG sur Heliconia sont disponibles dans le nouveau billet de blog de Google, que Google publie pour sensibiliser à la menace des logiciels espions commerciaux.


La source: Google

Image en vedette : Tombé par terre/Shutterstock

Vulnérabilités découvertes dans cinq plugins WordPress WooCommerce

0

La National Vulnerability Database (NVD) du gouvernement américain a publié des avertissements de vulnérabilités dans cinq plugins WooCommerce WordPress affectant plus de 135 000 installations.

De nombreuses vulnérabilités varient en gravité jusqu’à Critique et sont notées 9,8 sur une échelle de 1 à 10.

Chaque vulnérabilité s’est vue attribuer un numéro d’identité CVE (Common Vulnerabilities and Exposures) attribué aux vulnérabilités découvertes.

1. Exportation avancée des commandes pour WooCommerce

Le plugin Advanced Order Export for WooCommerce, installé sur plus de 100 000 sites Web, est vulnérable à une attaque Cross-Site Request Forgery (CSRF).

Une vulnérabilité Cross-Site Request Forgery (CSRF) provient d’une faille dans un plugin de site Web qui permet à un attaquant de tromper un utilisateur de site Web pour qu’il effectue une action involontaire.

Les navigateurs de sites Web contiennent généralement des cookies qui indiquent à un site Web qu’un utilisateur est enregistré et connecté. Un attaquant peut assumer les niveaux de privilège d’un administrateur. Cela donne à l’attaquant un accès complet à un site Web, expose des informations client sensibles, etc.

Cette vulnérabilité spécifique peut entraîner le téléchargement d’un fichier d’exportation. La description de la vulnérabilité ne décrit pas quel fichier peut être téléchargé par un attaquant.

Étant donné que le but du plugin est d’exporter les données de commande WooCommerce, il peut être raisonnable de supposer que les données de commande sont le type de fichier auquel un attaquant peut accéder.

La description officielle de la vulnérabilité :

« Vulnérabilité Cross-Site Request Forgery (CSRF) dans le plug-in Advanced Order Export For WooCommerce <= 3.3.2 sur WordPress entraînant le téléchargement du fichier d'exportation.

La vulnérabilité affecte toutes les versions du plug-in Advanced Order Export for WooCommerce qui sont inférieures ou égales à la version 3.3.2.

Le journal des modifications officiel du plugin indique que la vulnérabilité a été corrigée dans la version 3.3.3.

En savoir plus sur la base de données nationale des vulnérabilités (NVD): CVE-2022-40128

2. Tarification dynamique avancée pour WooCommerce

Le deuxième plugin concerné est le plugin Advanced Dynamic Pricing pour WooCommerce qui est installé sur plus de 20 000 sites Web.

Il a été découvert que ce plugin présentait deux vulnérabilités CSRF (Cross-Site Request Forgery) qui affectent toutes les versions de plugin inférieures à 4.1.6.

Le but du plugin est de permettre aux commerçants de créer facilement des remises et règles de tarification.

La première vulnérabilité (CVE-2022-43488) peut conduire à un «migration de type de règle.”

C’est un peu vague. On peut peut-être supposer que la vulnérabilité peut avoir quelque chose à voir avec la capacité de modifier les règles de tarification.

La description officielle fournie au NVD :

« Vulnérabilité Cross-Site Request Forgery (CSRF) dans le plugin Advanced Dynamic Pricing for WooCommerce <= 4.1.5 sur WordPress conduisant à une migration de type de règle.

En savoir plus sur le NVD : CVE-2022-43488

Le NVD a attribué à la deuxième vulnérabilité CSRF dans le plug-in Advanced Dynamic Pricing for WooCommerce un numéro CVE, CVE-2022-43491.

La description officielle NVD de la vulnérabilité est :

« La vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin Advanced Dynamic Pricing for WooCommerce <= 4.1.5 sur WordPress conduit à l'importation des paramètres du plugin."

Le changelog officiel du plugin note :

« Journal des modifications – 4.1.6 – 2022-10-26

Correction de certaines vulnérabilités CSRF et de contrôle d’accès cassé »

Lire l’annonce officielle de NVD : CVE-2022-43491

3. Plugin Advanced Coupons for WooCommerce Coupons

Le troisième plugin concerné, Advanced Coupons for WooCommerce Coupons, compte plus de 10 000 installations.

Le problème découvert dans ce plugin est également une vulnérabilité CSRF et affecte toutes les versions inférieures à 4.5.01.

Le journal des modifications du plugin appelle le patch un correction d’un bug?

« 4.5.0.1

Correction de bogue : la demande AJAX de rejet de l’avis de démarrage n’a pas de valeur nonce. »

La description officielle du NVD est :

« Vulnérabilité Cross-Site Request Forgery (CSRF) dans Advanced Coupons for WooCommerce Coupons plugin <= 4.5 sur WordPress conduisant à un avis de rejet.

En savoir plus sur le NVD : CVE-2022-43481

4. WooCommerce Dropshipping par OPMC – Critique

Le quatrième logiciel concerné est le plugin WooCommerce Dropshipping by OPMC qui compte plus de 3 000 installations.

Les versions de ce plugin inférieures à la version 4.4 contiennent une vulnérabilité d’injection SQL non authentifiée notée 9.8 (sur une échelle de 1 à 10) et étiquetée comme critique.

En général, une vulnérabilité d’injection SQL permet à un attaquant de manipuler la base de données WordPress et d’assumer des autorisations de niveau administrateur, d’apporter des modifications à la base de données, d’effacer la base de données ou même de télécharger des données sensibles.

Le NVD décrit cette vulnérabilité de plug-in spécifique :

« Le plugin WooCommerce Dropshipping WordPress avant 4.4 ne nettoie pas correctement et n’échappe pas à un paramètre avant de l’utiliser dans une instruction SQL via un point de terminaison REST disponible pour les utilisateurs non authentifiés, ce qui entraîne une injection SQL. »

En savoir plus sur le NVD : CVE-2022-3481

Lisez le changelog officiel du plugin.

5. Tarification basée sur les rôles pour WooCommerce

Le plug-in de tarification basée sur les rôles pour WooCommerce présente deux vulnérabilités CSRF (Cross-Site Request Forgery). Il y a 2 000 installations de ce plugin.

Comme mentionné à propos d’un autre plugin, une vulnérabilité CSRF implique généralement un attaquant incitant un administrateur ou un autre utilisateur à cliquer sur un lien ou à effectuer une autre action. Cela peut amener l’attaquant à obtenir les niveaux d’autorisation du site Web de l’utilisateur.

Cette vulnérabilité est notée 8.8 High.

La description NVD de la première vulnérabilité met en garde :

« Le plugin WordPress de tarification basée sur les rôles pour WooCommerce avant la version 1.6.2 n’a pas d’autorisation et de vérifications CSRF appropriées, et ne valide pas les fichiers à télécharger, permettant à tout utilisateur authentifié comme l’abonné de télécharger des fichiers arbitraires, tels que PHP »

Voici la description officielle NVD de la deuxième vulnérabilité :

« Le plugin WordPress de tarification basée sur les rôles pour WooCommerce avant la version 1.6.3 n’a pas d’autorisation et de vérifications CSRF appropriées, et ne valide pas non plus le chemin donné via l’entrée de l’utilisateur, permettant à tout utilisateur authentifié comme l’abonné d’effectuer des attaques de désérialisation PHAR lorsqu’il peut télécharger un fichier, et une chaîne de gadgets appropriée est présente sur le blog »

Le journal des modifications officiel du plug-in WordPress de tarification basée sur les rôles pour WooCommerce indique que le plug-in est entièrement corrigé dans la version 1.6.2 :

« Journal des modifications 2022-10-01 – version 1.6.2

* Correction de la vulnérabilité de téléchargement arbitraire de fichiers.

* Correction du problème de vérification nonce ajax.

Lisez la documentation officielle de NVD :

CVE-2022-3537

CVE-2022-3536

Plan d’action

Il est considéré comme une bonne pratique de mettre à jour tous les plugins vulnérables. Il est également recommandé de sauvegarder le site avant d’effectuer des mises à jour de plug-in et (si possible) de préparer le site et de tester le plug-in avant la mise à jour.


Image sélectionnée par Shutterstock/Master1305

WordPress Security Release corrige 16 vulnérabilités

0

WordPress a publié une mise à jour de sécurité pour corriger seize vulnérabilités, recommandant que les sites soient mis à jour immédiatement.

L’avis de sécurité n’offrait pas de description de la gravité des vulnérabilités, mais étant donné les types de vulnérabilités reconnues par WordPress et leur grand nombre, il peut être judicieux de prendre cette version de sécurité au sérieux.

Vulnérabilités corrigées par WordPress

Il y a seize correctifs au total abordés dans cette version de sécurité qui corrigent plusieurs types de vulnérabilités.

Voici une liste des vulnérabilités corrigées :

  • 9 problèmes XSS, dont 6 sont stockés XSS
  • 2 Vulnérabilités liées aux e-mails
  • 1 Vulnérabilité liée à la falsification des requêtes intersites
  • 1 injection SQL
  • 1 Exposition des données (REST Endpoint)
  • 1 Ouvrir la redirection
  • 1 Rétablir les instances d’utilisateur partagées (la fonctionnalité a vraisemblablement introduit une vulnérabilité)

Six vulnérabilités XSS stockées

Une vulnérabilité XSS stockée est une vulnérabilité dans laquelle la charge utile est téléchargée et stockée sur les serveurs du site Web de la victime.

Une vulnérabilité XSS se produit généralement partout où WordPress autorise une entrée ou un téléchargement.

Ce type de vulnérabilité résulte d’une faille dans le code où le point d’entrée ne filtre pas correctement ce qui peut être téléchargé, ce qui entraîne la possibilité de télécharger un script malveillant ou un autre fichier inattendu.

Le site de sécurité à but non lucratif Open Web Application Security Project (OWASP) décrit ce type de vulnérabilité :

« Les attaques stockées sont celles où le script injecté est stocké en permanence sur les serveurs cibles, comme dans une base de données, dans un forum de messages, un journal des visiteurs, un champ de commentaires, etc.

La victime récupère ensuite le script malveillant sur le serveur lorsqu’il demande les informations stockées.

Falsification de requêtes intersites

Une contrefaçon de requête intersite (CSRF) dépend d’un peu d’ingénierie sociale pour tromper un utilisateur de site Web de haut niveau avec des privilèges administratifs pour effectuer une action telle que suivre un lien.

Ce type de vulnérabilité peut conduire un administrateur à effectuer des actions susceptibles de compromettre le site Web.

Cela peut également affecter les utilisateurs réguliers du site Web en obligeant un utilisateur à modifier son adresse e-mail de connexion ou à retirer des fonds.

Ouvrir la redirection dans `wp_nonce_ays`

Une redirection ouverte est une faille dans laquelle un pirate peut profiter d’une redirection.

Dans ce cas, il s’agit d’une redirection liée à un avis « Êtes-vous sûr » pour confirmer une action.

La description WordPress officielle de cette fonction est :

« Si l’action a le message d’explication nonce, alors elle sera affichée avec le message « Êtes-vous sûr? » message. »

Un nonce est un jeton de sécurité généré par le site WordPress.

Le codex officiel de WordPress définit les nonces :

« Un nonce est un » nombre utilisé une fois « pour aider à protéger les URL et les formulaires contre certains types d’utilisation abusive, malveillante ou autre.

Les nonces WordPress ne sont pas des nombres mais un hachage composé de chiffres et de lettres.

… Les jetons de sécurité de WordPress sont appelés « nonces » … car ils ont à peu près le même objectif que les nonces.

Ils aident à protéger contre plusieurs types d’attaques, y compris CSRF, mais ne protègent pas contre les attaques par relecture car ils ne sont pas vérifiés pour une utilisation unique.

Les nonces ne doivent jamais être utilisés pour l’authentification, l’autorisation ou le contrôle d’accès.

Protégez vos fonctions en utilisant current_user_can() et supposez toujours que les nonces peuvent être compromis. »

WordPress ne décrit pas exactement ce qu’est cette vulnérabilité.

Mais Google a publié une description de ce qu’est une vulnérabilité de redirection ouverte :

« Il s’agit d’une forme d’abus particulièrement onéreuse car elle tire parti des fonctionnalités de votre site plutôt que d’exploiter un simple bogue ou une faille de sécurité.

Les spammeurs espèrent utiliser votre domaine comme une « page de destination » temporaire pour inciter les utilisateurs de messagerie, les chercheurs et les moteurs de recherche à suivre des liens qui semblent pointer vers votre site, mais redirigent en fait vers leur site spam.

Compte tenu de la façon dont cette vulnérabilité affecte une fonction sensible liée à la sécurité et à l’accès, elle peut être assez grave.

Injection SQL en raison d’un nettoyage incorrect dans `WP_Date_Query`

Il s’agit d’un type de vulnérabilité où l’attaquant peut entrer des données directement dans la base de données.

Une base de données est essentiellement le cœur d’un site WordPress, c’est là que sont stockés les mots de passe, les publications, etc.

Une désinfection incorrecte est une référence à un contrôle de sécurité censé limiter ce qui peut être saisi.

Les attaques par injection SQL sont considérées comme très graves car elles peuvent entraîner la compromission du site Web.

L’OWASP met en garde :

« Les attaques par injection SQL permettent aux attaquants d’usurper l’identité, de falsifier les données existantes, de provoquer des problèmes de répudiation tels que l’annulation de transactions ou la modification des soldes, de permettre la divulgation complète de toutes les données sur le système, de détruire les données ou de les rendre autrement indisponibles, et de devenir administrateurs de le serveur de base de données.

…La gravité des attaques par injection SQL est limitée par les compétences et l’imagination de l’attaquant et, dans une moindre mesure, par des contre-mesures de défense en profondeur, telles que des connexions à faible privilège au serveur de base de données, etc. En général, considérez l’injection SQL comme une gravité d’impact élevée.

Version de sécurité WordPress

L’alerte WordPress indique que cette mise à jour de sécurité affecte toutes les versions de WordPress 3.7.

Nulle part dans l’annonce, il n’a fourni de détails sur la gravité de l’une des vulnérabilités.

Cependant, il n’est probablement pas exagéré de dire que seize vulnérabilités, dont six XSS stockées et une vulnérabilité d’injection SQL, sont un sujet de préoccupation.

WordPress recommande de mettre à jour les sites Web immédiatement.


Citations

Description officielle des vulnérabilités corrigées par WordPress 6.0.3

Édition 6.0.3

Lire l’annonce de sortie officielle

WordPress 6.0.3 est maintenant disponible !

Image sélectionnée par Shutterstock/Pixel-Shot

Vulnérabilités dans plus de 17 plugins complémentaires Elementor pour WordPress

0

Les chercheurs en sécurité de Wordfence ont découvert que pratiquement tous les plugins testés qui ajoutent des fonctionnalités à Elementor présentaient une vulnérabilité. De nombreux éditeurs de plugins contactés ont mis à jour leurs plugins mais tous n’ont pas répondu, y compris les plugins premium.

Le plugin de création de pages Elementor lui-même a corrigé une vulnérabilité similaire en février 2021.

Cette vulnérabilité affecte les plugins complémentaires pour Elementor qui sont créés par des tiers.

Selon Wordfence :

« Nous avons trouvé les mêmes vulnérabilités dans presque tous les plugins que nous avons examinés qui ajoutent des éléments supplémentaires au constructeur de pages Elementor. »

Il semble donc que cette vulnérabilité soit assez répandue au sein des plugins tiers qui sont des add-ons à Elementor

Vulnérabilité de script intersite stocké

Une vulnérabilité de script intersite stocké est particulièrement problématique car le script malveillant est téléchargé et stocké sur le site Web lui-même. Ensuite, lorsqu’un utilisateur visite la page Web affectée, le navigateur exécute le script malveillant.

Si la personne visitant le site est connectée et dispose d’un accès de niveau administrateur, le script peut être utilisé pour fournir ce niveau d’accès au pirate et conduire à une prise de contrôle totale du site.

Cette vulnérabilité particulière permet à un attaquant disposant au moins d’une autorisation de niveau contributeur de télécharger un script à l’endroit où un élément (comme un élément d’en-tête) est censé se trouver.

L’attaque est similaire à celle qu’Elementor a corrigée en février 2021.

Voici comment la vulnérabilité Elementor est décrite :

« … l’élément « Heading » peut être configuré pour utiliser les balises H1, H2, H3, etc. afin d’appliquer différentes tailles de titre via le paramètre header_size.

Malheureusement, pour six de ces éléments, les balises HTML n’étaient pas validées côté serveur, il était donc possible pour tout utilisateur pouvant accéder à l’éditeur Elementor, y compris les contributeurs, d’utiliser cette option pour ajouter du JavaScript exécutable à un article ou à une page via une demande élaborée.

Liste des principaux plugins complémentaires Elementor corrigés

La liste ci-dessous des dix-sept plugins pour Elementor qui ont été affectés sont installés sur des millions de sites.

Parmi ces plugins, il y a plus d’une centaine de points de terminaison, ce qui signifie qu’il y avait plusieurs vulnérabilités dans chacun des plugins où un attaquant pouvait télécharger un fichier JavaScript malveillant.

La liste suivante n’est qu’une partie.

Si votre plugin tiers qui ajoute des fonctionnalités à Elementor n’est pas répertorié, il est impératif de vérifier auprès de l’éditeur pour s’assurer qu’il a été vérifié pour voir s’il contient également cette vulnérabilité.

Liste des 17 meilleurs plugins Elementor corrigés

  1. Addons essentiels pour Elementor
  2. Elementor – Modèle d’en-tête, de pied de page et de blocs
  3. Addons ultimes pour Elementor
  4. Modules Premium pour Elementor
  5. Kit d’éléments
  6. Eléments complémentaires Elementor
  7. Modules Livemesh pour Elementor
  8. HT Mega – Addons absolus pour Elementor Page Builder
  9. WooLentor – Modules complémentaires WooCommerce Elementor + Constructeur
  10. Modules PowerPack pour Elementor
  11. Effets de survol d’image – Addon Elementor
  12. Extensions et modèles Rife Elementor
  13. Les Plus Addons pour Elementor Page Builder Lite
  14. Addons tout-en-un pour Elementor – WidgetKit
  15. JetWidgets pour Elementor
  16. Extension Sina pour Elementor
  17. DethemeKit pour Elementor

Que faire si vous utilisez un plugin Elementor ?

Les éditeurs utilisant des plugins tiers pour Elementor doivent s’assurer que ces plugins ont été mis à jour pour corriger cette vulnérabilité.

Bien que cette vulnérabilité nécessite au moins un accès de niveau contributeur, un pirate qui cible spécifiquement un site peut tirer parti de diverses attaques ou stratégies pour obtenir ces informations d’identification, y compris l’ingénierie sociale.

Selon Wordfence :

« Il peut être plus facile pour un attaquant d’accéder à un compte avec des privilèges de contributeur que d’obtenir des informations d’identification administratives, et une vulnérabilité de ce type peut être utilisée pour effectuer une escalade de privilèges en exécutant JavaScript dans la session de navigateur d’un administrateur examinant. »

Si votre plug-in d’extension tiers pour Elementor n’a pas été récemment mis à jour pour corriger une vulnérabilité, vous pouvez contacter l’éditeur de ce plug-in pour vérifier s’il est sûr.

Citation

Les correctifs récents font vibrer l’écosystème Elementor

Les vulnérabilités ne sont pas un problème de référencement… jusqu’à ce que vous soyez piraté

0

John Mueller de Google a répondu à une question dans le hangout SEO Office-hours pour savoir si une vulnérabilité de sécurité avait un effet sur le référencement. Il a dit que techniquement, ce n’était pas un problème de référencement. Mais cette vulnérabilité avait en germe de devenir un problème de référencement à l’avenir.

Quand quelque chose devient-il un problème de référencement ?

C’est en quelque sorte une question un peu philosophique. Quelqu’un que je connais qui fait beaucoup d’audits de sites a été surpris d’apprendre que j’ai inclus un contrôle de sécurité dans le cadre de tous les audits SEO.

La raison pour laquelle je l’ai fait est qu’une vulnérabilité peut devenir un problème de référencement si le site est piraté et que Google le bloque des pages de résultats des moteurs de recherche (SERP).

À mon avis, ce n’est pas parce que l’effet sur le référencement est dans le futur que ce n’est pas un problème de référencement. Pourquoi attendre qu’une vulnérabilité devienne un problème SEO avant de s’y attaquer pour corriger le SEO ?

Si cela a le potentiel de devenir un problème de référencement à l’avenir, un peu comme le cloaking ou les liens payants, alors, à mon avis, c’est un problème de référencement.

Mais c’est juste mon opinion.

Voici la question :

« Après avoir rédigé un rapport Lighthouse sur notre site, nous avons remarqué qu’une bibliothèque JavaScript commune que nous utilisions était signalée comme présentant deux vulnérabilités de sécurité.

Ces vulnérabilités ont-elles un effet sur le SEO ? Ou diriez-vous que c’est plus juste pour nous le faire savoir ? »

Une bibliothèque JavaScript est un ensemble de fonctionnalités regroupées. Les bibliothèques JS permettent aux développeurs de plugins et de thèmes d’inclure plus facilement certaines fonctionnalités sans avoir à les coder à partir de zéro.

Tout ce qu’ils ont à faire est de retirer la bibliothèque de l’étagère (pour ainsi dire) et d’écrire le code qui déclenche le JS pour faire bouger les choses.

Certaines bibliothèques JS plus anciennes contiennent des vulnérabilités.

Ces bibliothèques JS se faufilent généralement sur les sites Web via un thème ou un plugin. Le réparer peut être aussi simple que de mettre à jour le thème ou le plugin, mais parfois cela ne le résout pas.

Et il n’est pas toujours possible de mettre à jour une bibliothèque JavaScript car l’ancienne peut être responsable d’une fonction dans le thème qui s’interrompt lorsque cette bibliothèque spécifique est manquante.

Dans ces situations, le réparer nécessite de remplacer le thème ou le plugin par un autre qui est plus responsable dans leur choix de bibliothèque JS.

Jean Mueller a répondu :

« Alors Lighthouse est, je pense, un outil au sein de Chrome et aussi un outil autonome, je pense. Je ne sais pas si c’est juste dans Chrome.

Mais c’est essentiellement du côté de Chrome.

Ce n’est pas par définition un outil de référencement.

Mais il a beaucoup de choses que vous pouvez utiliser pour le référencement.

Mueller a raison de dire que Lighthouse n’est pas par définition un outil de référencement. Mais il a quelques fonctions de référencement légères et l’audit de performance lui-même est lié au référencement, car les performances sous la forme de Core Web Vitals sont un facteur de classement.

Muller a poursuivi :

« Et plus précisément, les vulnérabilités de sécurité ne sont pas quelque chose que nous signalerions comme un problème de référencement.

Mais s’il s’agit de véritables vulnérabilités sur les scripts que vous utilisez… cela signifie que votre site Web finit par être piraté, alors l’état piraté de votre site Web, ce serait un problème pour le référencement.
Mais juste la possibilité qu’il soit piraté, ce n’est pas un problème en ce qui concerne le référencement.

Donc, de ce point de vue, je considérerais cela comme quelque chose à vérifier avec peut-être les développeurs ou à revérifier si vous pouvez mettre à jour ces bibliothèques.

Mais je ne le verrais pas comme quelque chose qui changerait votre classement immédiatement.

La vulnérabilité n’est pas quelque chose qui change immédiatement le classement

John a raison, bien sûr qu’une vulnérabilité n’est pas quelque chose qui aura un effet SEO immédiat.

Cependant, une vulnérabilité peut potentiellement devenir un problème de référencement et pour cette raison, il peut être prudent de considérer la sécurité du site comme un problème de référencement.

Citation

Les vulnérabilités ne sont pas un problème de référencement… jusqu’à ce que vous soyez piraté

Regarder à la marque de 37:27 minutes

Drupal met en garde contre plusieurs vulnérabilités critiques

0

Drupal a publié un avis de sécurité concernant quatre vulnérabilités critiques classées de modérément critiques à critiques. Les vulnérabilités affectent les versions 9.3 et 9.4 de Drupal.

L’avis de sécurité a averti que les diverses vulnérabilités pourraient permettre à un pirate d’exécuter du code arbitraire, mettant un site et un serveur en danger.

Ces vulnérabilités n’affectent pas la version 7 de Drupal.

De plus, toutes les versions de Drupal antérieures à 9.3.x ont atteint le statut de fin de vie, ce qui signifie qu’elles ne reçoivent plus de mises à jour de sécurité, ce qui rend leur utilisation risquée.

Vulnérabilité critique : exécution arbitraire de code PHP

Une vulnérabilité d’exécution de code PHP arbitraire est une vulnérabilité dans laquelle un attaquant est capable d’exécuter des commandes arbitraires sur un serveur.

La vulnérabilité est survenue involontairement en raison de deux fonctionnalités de sécurité censées bloquer les téléchargements de fichiers dangereux, mais ont échoué car elles ne fonctionnaient pas bien ensemble, ce qui a entraîné la vulnérabilité critique actuelle qui peut entraîner une exécution de code à distance.

Selon Drupal :

« … les protections contre ces deux vulnérabilités ne fonctionnaient pas correctement ensemble auparavant.

Par conséquent, si le site était configuré pour autoriser le téléchargement de fichiers avec une extension htaccess, les noms de fichiers de ces fichiers ne seraient pas correctement filtrés.

Cela pourrait permettre de contourner les protections fournies par les fichiers .htaccess par défaut du noyau Drupal et une éventuelle exécution de code à distance sur les serveurs Web Apache.

Une exécution de code à distance se produit lorsqu’un attaquant est capable d’exécuter un fichier malveillant et de prendre le contrôle d’un site Web ou de l’ensemble du serveur. Dans ce cas particulier, l’attaquant est capable d’attaquer le serveur Web lui-même lors de l’exécution du logiciel de serveur Web Apache.

Apache est un logiciel de serveur Web open source sur lequel tout le reste, comme PHP et WordPress, s’exécute. C’est essentiellement la partie logicielle du serveur lui-même.

Vulnérabilité de contournement d’accès

Cette vulnérabilité, classée comme modérément critique, permet à un attaquant de modifier des données auxquelles il n’est pas censé avoir accès.

Selon l’avis de sécurité :

« Dans certaines circonstances, l’API de formulaire principal de Drupal évalue de manière incorrecte l’accès aux éléments de formulaire.

…Aucun formulaire fourni par le noyau Drupal n’est connu pour être vulnérable. Cependant, les formulaires ajoutés via des modules ou des thèmes contribués ou personnalisés peuvent être affectés.

Vulnérabilités multiples

Drupal a publié un total de quatre avis de sécurité :

  • Noyau Drupal – Critique – Exécution de code PHP arbitraire – SA-CORE-2022-014
  • Noyau Drupal – Modérément critique – Vulnérabilités multiples – SA-CORE-2022-015
  • Noyau Drupal – Modérément critique – Access Bypass – SA-CORE-2022-013
  • Noyau Drupal – Modérément critique – Divulgation d’informations – SA-CORE-2022-012

Cet avis met en garde contre de multiples vulnérabilités affectant Drupal qui peuvent exposer un site à différents types d’attaques et de résultats.

Voici quelques-uns des problèmes potentiels :

  • Exécution arbitraire de code PHP
  • Script intersite
  • Biscuits qui ont fui
  • Vulnérabilité de contournement d’accès
  • Accès non autorisé aux données
  • Vulnérabilité de divulgation d’informations

Mise à jour de Drupal recommandée

L’avis de sécurité de Drupal recommandait de mettre à jour immédiatement les versions 9.3 et 9.4.

Les utilisateurs de Drupal version 9.3 doivent passer à la version 9.3.19.

Les utilisateurs de Drupal version 9.4 doivent passer à la version 9.4.3.

Citation

Avis de sécurité Drupal Core

Noyau Drupal – Critique – Exécution de code PHP arbitraire

Image sélectionnée par Shutterstock/solarseven

Vulnérabilités critiques de Magento annoncées par Adobe

0

Adobe a annoncé avoir publié un correctif pour Magento 2 afin de corriger plusieurs vulnérabilités critiques. Certaines des vulnérabilités pourraient permettre aux attaquants de prendre le contrôle des sessions d’administration et d’accorder l’accès aux informations des clients.

Les vulnérabilités affectant la plate-forme de commerce électronique populaire Magento affectent à la fois les versions open source et commerciales.

Selon les notes de version de Magento Open Source :

« Trente-trois améliorations de sécurité qui aident à éliminer les vulnérabilités d’exécution de code à distance (RCE) et de script intersite (XSS)

Aucune attaque confirmée liée à ces problèmes n’a eu lieu à ce jour.

Cependant, certaines vulnérabilités peuvent potentiellement être exploitées pour accéder aux informations des clients ou prendre le contrôle des sessions d’administrateur.

Vulnérabilités corrigées dans la plate-forme de commerce électronique Magento

Adobe a annoncé la sortie de Magento 2.4.3 qui contient un total de 33 améliorations de sécurité.

Ces problèmes de sécurité affectent à la fois les versions commerciales et open source de Magento.

Versions commerciales de Magento concernées :

  • 2.4.2 et versions antérieures
  • 2.4.2-p1 et versions antérieures
  • 2.3.7 et versions antérieures

Versions Open Source de Magento concernées :

  • 2.4.2-p1 et versions antérieures
  • 2.3.7 et versions antérieures

Problèmes de sécurité critiques de Magento

Plusieurs des problèmes de sécurité sont jugés critiques.

Il convient de noter en particulier que sur les seize vulnérabilités de sécurité annoncées par Adobe, dix d’entre elles ne nécessitent aucune information d’identification d’administrateur ou d’utilisateur pour exploiter Magento.

Les six vulnérabilités restantes nécessitent qu’un attaquant ait déjà des privilèges de niveau administrateur.

Onze des vulnérabilités sont classées comme critiques et les autres comme importantes.

Onze vulnérabilités critiques dans Magento

Bien que toutes les vulnérabilités ne doivent pas être ignorées, celles classées comme critiques sont relativement particulièrement dangereuses.

Il existe quatre types de vulnérabilités :

  1. Exécution de code arbitraire (7 vulnérabilités)
  2. Contournement de la fonction de sécurité (2)
  3. Déni de service applicatif (1)
  4. Élévation de privilèges (1)

Exécution de code arbitraire Magento

Les exploits Arbitrary Code Execution affectant Magento consistent en six types d’attaques.

  • Mauvais contrôle d’accès
  • Validation d’entrée incorrecte
  • Traversée de chemin
  • Injection de commande du système d’exploitation
  • Contrefaçon de requête côté serveur (SSRF)
  • Injection XML (alias Blind XPath Injection)

Exemples d’exploits de contournement des fonctionnalités de sécurité de Magento

Il existe deux types de problèmes de contournement des fonctionnalités de sécurité affectant Magento qui sont corrigés dans la version 2.4.3 de Magento.

  • Validation d’entrée incorrecte

    Ce type de problème est lié à l’incapacité de valider correctement une entrée comme dangereuse pour le logiciel à traiter. Cela permet à un attaquant de créer une entrée inattendue qui peut conduire à une exécution de code arbitraire.

  • Autorisation incorrecte

    Un exploit d’autorisation incorrecte se produit lorsque le logiciel ne parvient pas à vérifier correctement si l’utilisateur dispose des niveaux de privilège que la personne effectuant les entrées possède les informations d’identification appropriées.

Une caractéristique commune des exploits ci-dessus est qu’ils permettent à un attaquant d’accéder à des emplacements sensibles du logiciel, permettant à un attaquant d’exécuter des commandes arbitraires.

Selon le résumé d’Adobe :

« Magento a publié des mises à jour pour les éditions Adobe Commerce et Magento Open Source. Ces mises à jour corrigent des vulnérabilités jugées critiques et importantes. Une exploitation réussie pourrait conduire à l’exécution de code arbitraire.

Mise à jour Magento Version 2.4.3

Il est prudent de dire qu’il est recommandé d’envisager la mise à jour vers la dernière version de Magento. Les notes de publication d’Adobe indiquent qu’il existe des problèmes de compatibilité descendante.

Certaines des modifications sont publiées indépendamment et peuvent être mises à jour de cette manière.

Veuillez lire les notes de version complètes d’Adobe dans le bulletin de sécurité.

Citations

Bulletin de sécurité Adobe

Notes de mise à jour Magento Open Source 2.4.3

Notes de mise à jour d’Adobe Commerce 2.4.3

Problèmes mineurs d’incompatibilité descendante

Principaux problèmes de rétrocompatibilité

WordPress 5.8.1 publié pour corriger plusieurs vulnérabilités

0

WordPress a annoncé une version de sécurité et de maintenance, la version 5.8.1. Il est important de mettre à jour WordPress, en particulier les versions 5.4 à 5.8 afin de corriger trois problèmes de sécurité.

Version de sécurité et de maintenance de WordPress 5.8.1

Il n’est pas rare que WordPress ou tout autre logiciel d’ailleurs publie une mise à jour de correction de bogue après une mise à jour de version majeure afin de résoudre des problèmes imprévus et d’introduire des améliorations qui n’ont pas été apportées à temps pour la version majeure.

Dans WordPress, ces mises à jour sont appelées une version de maintenance.

Cette mise à jour comprend également une mise à jour de sécurité, ce qui est assez rare pour le noyau WordPress. Cela rend cette mise à jour plus importante que la version de maintenance typique.

Problèmes de sécurité WordPress corrigés

WordPress 5.8.1 corrige trois vulnérabilités :

  1. Une vulnérabilité d’exposition des données dans l’API REST
  2. Vulnérabilité Cross-Site Scripting (XSS) dans l’éditeur de blocs Gutenberg
  3. Vulnérabilités multiples de gravité critique à élevée dans la bibliothèque JavaScript Lodash

Les trois vulnérabilités ci-dessus sont si préoccupantes que l’annonce de WordPress recommande de mettre immédiatement à jour les installations de WordPress.

Vulnérabilité de l’API REST

L’API WordPress REST est une interface qui permet aux plugins et aux thèmes d’interagir avec le noyau WordPress.

L’API REST a été une source de vulnérabilités de sécurité, y compris plus récemment avec la vulnérabilité Gutenberg Template Library & Redux Framework qui a affecté plus d’un million de sites Web.

Cette vulnérabilité est décrite comme une vulnérabilité d’exposition des données, ce qui signifie que des informations sensibles pourraient être révélées. Il n’y a pas d’autres détails pour le moment concernant le type d’informations, mais cela pourrait être aussi grave que les mots de passe des données qui pourraient être utilisés pour monter une attaque via une autre vulnérabilité.

Vulnérabilité WordPress Gutenberg XSS

Les vulnérabilités de type Cross-Site Scripting (XSS) se produisent relativement fréquemment. Ils peuvent se produire chaque fois qu’il y a une entrée d’utilisateur comme un formulaire de contact ou de courrier électronique, tout type d’entrée qui n’est pas « désinfecté » pour empêcher le téléchargement de scripts qui peuvent déclencher un comportement indésirable dans l’installation de WordPress.

L’Open Web Application Security Project (OWASP) décrit les dommages potentiels des vulnérabilités XSS :

« Un attaquant peut utiliser XSS pour envoyer un script malveillant à un utilisateur sans méfiance. Le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script ne doit pas être approuvé et exécutera le script.

Parce qu’il pense que le script provient d’une source fiable, le script malveillant peut accéder à tous les cookies, jetons de session ou autres informations sensibles conservés par le navigateur et utilisés avec ce site. Ces scripts peuvent même réécrire le contenu de la page HTML.

Cette vulnérabilité spécifique affecte l’éditeur de blocs Gutenberg.

Vulnérabilités de la bibliothèque JavaScript WordPress Lodash

Ces vulnérabilités peuvent être les plus préoccupantes. La bibliothèque JavaScript Lodash est un ensemble de scripts utilisés par les développeurs qui présentent de multiples vulnérabilités.

La version la plus récente et la plus sûre est Lodash 4.17.21.

Le site Web CVE List sponsorisé par US Homeland Security détaille la vulnérabilité :

« Les versions de Lodash antérieures à 4.17.21 sont vulnérables à l’injection de commande via la fonction de modèle. »

Il semble également y avoir de nombreuses autres vulnérabilités affectant la bibliothèque Lodash dans la branche 4.1.7.

WordPress demande une mise à jour immédiate

Ces vulnérabilités de sécurité ajoutent un sentiment d’urgence à cette mise à jour. Tous les éditeurs sont recommandés par WordPress pour mettre à jour.

L’annonce officielle de WordPress recommande de mettre à jour :

« Parce qu’il s’agit d’une version de sécurité, il est recommandé de mettre à jour vos sites immédiatement. Toutes les versions depuis WordPress 5.4 ont également été mises à jour.

Citations

Version de sécurité et de maintenance de WordPress 5.8.1

Description de la vulnérabilité CVE Lodash CVE-2021-23337

Les vulnérabilités de WordPress Core frappent des millions de sites

0

WordPress a annoncé avoir corrigé quatre vulnérabilités classées jusqu’à 8 sur une échelle de 1 à 10. Les vulnérabilités se trouvent dans le cœur de WordPress lui-même et sont dues à des failles introduites par l’équipe de développement de WordPress elle-même.

Quatre vulnérabilités WordPress

L’annonce de WordPress manquait de détails sur la gravité des vulnérabilités et les détails étaient rares.

Cependant, la base de données nationale des vulnérabilités du gouvernement des États-Unis, où les vulnérabilités sont enregistrées et publiées, a évalué les vulnérabilités jusqu’à 8,0 sur une échelle de 1 à 10, dix représentant le niveau de danger le plus élevé.

Les quatre vulnérabilités sont :

  1. Injection SQL en raison d’un manque de nettoyage des données dans WP_Meta_Query (niveau de gravité élevé, 7,4)
  2. Injection d’objets authentifiée en multisites (niveau de gravité évalué moyen 6.6)
  3. Cross Site Scripting (XSS) stocké via des utilisateurs authentifiés (niveau de gravité élevé, 8.0)
  4. Injection SQL via WP_Query en raison d’un nettoyage incorrect (niveau de gravité élevé, 8.0)

Trois des quatre vulnérabilités ont été découvertes par des chercheurs en sécurité en dehors de WordPress. WordPress n’en avait aucune idée jusqu’à ce qu’ils soient notifiés.

Les vulnérabilités ont été divulguées en privé à WordPress, ce qui a permis à WordPress de résoudre les problèmes avant qu’ils ne soient largement connus.

Le développement de WordPress s’est précipité de manière dangereuse ?

Le développement de WordPress a ralenti en 2021 car ils n’ont pas pu terminer le travail sur la dernière version, 5.9, qui a vu cette version de WordPress repoussée à plus tard en 2022.

Il a été question au sein de WordPress de ralentir le rythme de développement en raison du souci de sa capacité à suivre le rythme.

Les développeurs principaux de WordPress eux-mêmes ont sonné l’alarme fin 2021 sur le rythme de développement, plaidant pour plus de temps.

L’un des développeurs a averti:

« Dans l’ensemble, il semble qu’en ce moment, nous précipitons les choses d’une manière dangereuse. »

Étant donné que WordPress ne peut pas respecter son propre calendrier de publication et envisage de réduire son calendrier de publication 2022 de quatre à trois, il faut s’interroger sur le rythme de développement de WordPress et s’il faut faire plus d’efforts pour s’assurer que les vulnérabilités ne sont pas par inadvertance diffusées à le public.

Problèmes de désinfection des données dans WordPress

Le nettoyage des données est un moyen de contrôler le type d’informations qui passe par les entrées et dans la base de données. La base de données contient des informations sur le site, y compris les mots de passe, les noms d’utilisateur, les informations sur l’utilisateur, le contenu et d’autres informations nécessaires au fonctionnement du site.

La documentation WordPress décrit le nettoyage des données :

« La désinfection est le processus de nettoyage ou de filtrage de vos données d’entrée. Que les données proviennent d’un utilisateur, d’une API ou d’un service Web, vous utilisez la désinfection lorsque vous ne savez pas à quoi vous attendre ou que vous ne voulez pas être strict avec la validation des données.

La documentation indique que WordPress fournit des fonctions d’assistance intégrées pour se protéger contre les entrées malveillantes et que l’utilisation de ces fonctions d’assistance nécessite un effort minimal.

WordPress anticipe seize types de vulnérabilités d’entrée et fournit des solutions pour les bloquer.

Il est donc surprenant que les problèmes de désinfection des entrées apparaissent toujours au cœur même de WordPress lui-même.

Il y avait deux vulnérabilités de haut niveau liées à une désinfection incorrecte :

  • WordPress : Injection SQL due à un mauvais nettoyage dans WP_Meta_Query
    En raison du manque de désinfection appropriée dans WP_Meta_Query, il existe un potentiel d’injection SQL aveugle
  • WordPress : Injection SQL via WP_Query
    En raison d’une mauvaise désinfection dans WP_Query, il peut y avoir des cas où l’injection SQL est possible via des plugins ou des thèmes qui l’utilisent d’une certaine manière.

Les autres vulnérabilités sont :

  • WordPress : Injection d’objets authentifiés en multisites
    Sur un multisite, les utilisateurs avec le rôle de super administrateur peuvent contourner le renforcement explicite/supplémentaire sous certaines conditions grâce à l’injection d’objet.
  • WordPress : XSS stocké via des utilisateurs authentifiés
    Les utilisateurs authentifiés à faibles privilèges (comme l’auteur) dans le noyau de WordPress peuvent exécuter JavaScript/effectuer une attaque XSS stockée, ce qui peut affecter les utilisateurs à privilèges élevés.

WordPress recommande la mise à jour immédiate

Parce que les vulnérabilités sont maintenant au grand jour, il est important que les utilisateurs de WordPress s’assurent que leur installation WordPress est mise à jour vers la dernière version, actuellement 5.8.3.

WordPress a conseillé de mettre à jour l’installation immédiatement.

Citations

Lire l’avis officiel de WordPress

Version de sécurité WordPress 5.8.3

Rapports de la base de données nationale sur la vulnérabilité

Injection d’objets authentifiés en multisites

XSS stocké via des utilisateurs authentifiés

Mauvaise désinfection dans WP_Query

Injection SQL due à une mauvaise désinfection dans WP_Meta_Query

Drupal met en garde contre deux vulnérabilités critiques

0

Drupal a annoncé deux vulnérabilités affectant les versions 9.2 et 9.3 qui pourraient permettre à un attaquant de télécharger des fichiers malveillants et de prendre le contrôle d’un site. Les niveaux de menace des deux vulnérabilités sont classés comme modérément critiques.

La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a averti que les exploits pourraient conduire un attaquant à prendre le contrôle d’un site Web vulnérable basé sur Drupal.

CISA a déclaré:

« Drupal a publié des mises à jour de sécurité pour corriger les vulnérabilités affectant Drupal 9.2 et 9.3.

Un attaquant pourrait exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté.

Drupal

Drupal est un système de gestion de contenu open source populaire écrit dans le langage de programmation PHP.

De nombreuses grandes organisations telles que la Smithsonian Institution, Universal Music Group, Pfizer, Johnson & Johnson, l’Université de Princeton et l’Université de Columbia utilisent Drupal pour leurs sites Web.

API de formulaire – Validation d’entrée incorrecte

La première vulnérabilité affecte l’API de formulaire de Drupal. La vulnérabilité est une validation d’entrée incorrecte, ce qui signifie que ce qui est téléchargé via l’API du formulaire n’est pas validé quant à savoir s’il est autorisé ou non.

La validation de ce qui est téléchargé ou saisi dans un formulaire est une bonne pratique courante. En général, la validation des entrées est effectuée avec une approche de liste autorisée où le formulaire attend des entrées spécifiques et rejettera tout ce qui ne correspond pas à l’entrée ou au téléchargement attendu.

Lorsqu’un formulaire ne parvient pas à valider une entrée, cela laisse le site Web ouvert au téléchargement de fichiers pouvant déclencher un comportement indésirable dans l’application Web.

L’annonce de Drupal a expliqué le problème spécifique :

« L’API de formulaire de Drupal Core présente une vulnérabilité dans laquelle certains formulaires de modules contribués ou personnalisés peuvent être vulnérables à une validation d’entrée incorrecte. Cela pourrait permettre à un attaquant d’injecter des valeurs non autorisées ou d’écraser des données. Les formulaires concernés sont rares, mais dans certains cas, un attaquant pourrait modifier des données critiques ou sensibles.

Drupal Core – Contournement d’accès

Le contournement d’accès est une forme de vulnérabilité où il peut y avoir un moyen d’accéder à une partie du site via un chemin auquel il manque une vérification de contrôle d’accès, ce qui permet dans certains cas à un utilisateur d’accéder à des niveaux qu’il n’a pas autorisations pour.

L’annonce de Drupal décrit la vulnérabilité :

« Drupal 9.3 a implémenté une API générique d’accès aux entités pour les révisions d’entités. Cependant, cette API n’a pas été complètement intégrée aux autorisations existantes, ce qui a entraîné un éventuel contournement d’accès pour les utilisateurs qui ont accès aux révisions de contenu en général, mais qui n’ont pas accès à des éléments individuels de nœud et de contenu multimédia.

Les éditeurs sont encouragés à consulter les avis de sécurité et à appliquer les mises à jour

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et Drupal encouragent les éditeurs à consulter les avis de sécurité et à mettre à jour les dernières versions.

Citations

Lire le bulletin officiel de vulnérabilité Drupal CISA

Drupal publie des mises à jour de sécurité

Lire les deux annonces de sécurité Drupal

Noyau Drupal – Modérément critique – Validation d’entrée incorrecte – SA-CORE-2022-008

Noyau Drupal – Modérément critique – Contournement d’accès – SA-CORE-2022-009

Vulnérabilités du plugin WordPress ThirstyAffiliates

0

La National Vulnerability Database (NVD) des États-Unis a annoncé que le plugin WordPress Thirsty Affiliate Link Manager présente deux vulnérabilités qui peuvent permettre à un pirate d’injecter des liens. De plus, le plug-in ne dispose pas de la vérification Cross-Site Request Forgery, ce qui peut entraîner une compromission complète du site Web de la victime.

Plugin gestionnaire de liens ThirstyAffiliates

Le plugin WordPress ThirstyAffiliates Link Manager propose des outils de gestion des liens d’affiliation. Les liens d’affiliation changent constamment et une fois qu’un lien devient obsolète, l’affilié ne gagnera plus d’argent à partir de ce lien.

Le plugin de gestion des liens d’affiliation WordPress résout ce problème en fournissant un moyen de gérer les liens d’affiliation à partir d’une seule zone dans le panneau d’administration de WordPress, ce qui facilite la modification des URL de destination sur l’ensemble du site en modifiant un lien.

L’outil permet d’ajouter des liens d’affiliation dans le contenu au fur et à mesure que le contenu est écrit.

Vulnérabilités du plugin WordPress ThirstyAffiliate Link Manager

La base de données nationale des vulnérabilités des États-Unis (NVD) a décrit deux vulnérabilités qui permettent à tout utilisateur connecté, y compris les utilisateurs au niveau de l’abonné, de créer des liens d’affiliation et également de télécharger des images avec des liens qui peuvent diriger les utilisateurs qui cliquent sur les liens vers n’importe quel site Web. .

Le NVD décrit le vulnérabilités :

CVE-2022-0398

«Le plugin WordPress ThirstyAffiliates Affiliate Link Manager avant 3.10.5 n’a pas d’autorisation et de vérifications CSRF lors de la création de liens d’affiliation, ce qui pourrait permettre à tout utilisateur authentifié, tel qu’un abonné, de créer des liens d’affiliation arbitraires, qui pourraient ensuite être utilisés pour rediriger les utilisateurs vers un site Web arbitraire.

CVE-2022-0634

« Le plugin WordPress ThirstyAffiliates Affiliate Link Manager avant 3.10.5 manque de vérifications d’autorisation dans l’action ta_insert_external_image, permettant à un utilisateur à faible privilège (avec un rôle aussi bas qu’Abonné) d’ajouter une image d’une URL externe à un lien d’affiliation.

De plus, le plugin manque de vérifications csrf, permettant à un attaquant de tromper un utilisateur connecté pour qu’il effectue l’action en créant une demande spéciale.

Falsification de requêtes intersites

Une attaque Cross-Site Request Forgery est une attaque qui amène un utilisateur connecté à exécuter une commande arbitraire sur un site Web via le navigateur que le visiteur du site utilise.

Dans un site Web dépourvu de contrôles CSRF, le site Web ne peut pas faire la différence entre un navigateur affichant les informations d’identification de cookie d’un utilisateur connecté et une demande authentifiée falsifiée (authentifié signifie connecté).

Si l’utilisateur connecté dispose d’un accès de niveau administrateur, l’attaque peut entraîner une prise de contrôle totale du site car l’ensemble du site Web est compromis.

Open Web Application Security Project® (OWASP), une organisation à but non lucratif avec des dizaines de milliers de membres qui est une ressource pour améliorer la sécurité des logiciels, propose une définition de CSRF qui stipule que si l’attaque est lancée contre un utilisateur avec des privilèges administratifs alors que l’intégralité de l’application Web peut être compromise.

« Cross-Site Request Forgery (CSRF) est une attaque qui force un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié. Avec un peu d’aide d’ingénierie sociale (comme l’envoi d’un lien par e-mail ou chat), un attaquant peut inciter les utilisateurs d’une application Web à exécuter les actions de son choix.

… Si la victime est un compte administratif, CSRF peut compromettre l’ensemble de l’application Web.« 

L’OWASP indique en outre comment un compte de niveau administrateur peut être compromis par une attaque CSRF :

« Pour la plupart des sites, les requêtes du navigateur incluent automatiquement toutes les informations d’identification associées au site, telles que le cookie de session de l’utilisateur, l’adresse IP, les informations d’identification du domaine Windows, etc. Par conséquent, si l’utilisateur est actuellement authentifié sur le site, le site n’aura aucun moyen de faire la distinction entre la demande falsifiée envoyée par la victime et une demande légitime envoyée par la victime.

La mise à jour du plugin ThirstyAffiliates link Manager est recommandée

Le plugin ThirstyAffiliates a publié un correctif pour les deux vulnérabilités. Il peut être prudent de mettre à jour vers la version la plus sûre du plugin, 3.10.5.

Citations

Lire les avertissements officiels de vulnérabilité NVD

CVE-2022-0634 Détail

CVE-2022-0398 Détail

Lisez les détails de la vulnérabilité de WP Scan et examinez la preuve de concept

Gestionnaire de liens d’affiliation ThirstyAffiliates < 3.10.5 - Création de liens d'affiliation arbitraires pour les abonnés +

ThirstyAffiliates < 3.10.5 - Abonné + téléchargement d'image non autorisé + CSRF