MAJ sécurité WordPress 5.9.2

Hier soir, juste après 18 heures, heure du Pacifique, le jeudi 10 mars 2022, l'équipe principale de WordPress a publié la version 5.9.2 de WordPress, qui contient des correctifs de sécurité pour une vulnérabilité de gravité élevée ainsi que deux problèmes de gravité moyenne.

Le problème de haute gravité affecte les versions 5.9.0 et 5.9.1 et permet aux utilisateurs de niveau contributeur et supérieur d'insérer du JavaScript malveillant dans les publications WordPress. L'équipe Wordfence Threat Intelligence a pu créer une preuve de concept pour cette vulnérabilité assez rapidement et a publié une règle de pare-feu tôt le 11 mars 2022, pour protéger les sites WordPress qui n'ont pas encore été mis à jour.

Les deux vulnérabilités de gravité moyenne affectent les versions de WordPress antérieures à 5.9.2 et permettent potentiellement aux attaquants d'exécuter du JavaScript arbitraire dans la session d'un utilisateur s'ils peuvent inciter cet utilisateur à cliquer sur un lien, bien qu'il n'existe aucun exploit pratique connu pour ces deux vulnérabilités affectant WordPress. . Toutes les versions de WordPress depuis WordPress 3.7 ont également été mises à jour avec le correctif de ces vulnérabilités.

Analyse de vulnérabilité

Comme pour toutes les versions principales de WordPress contenant des correctifs de sécurité, l'équipe Wordfence Threat Intelligence a analysé la mise à jour en détail pour garantir la sécurité de nos clients.

Nous avons publié deux nouvelles règles de pare-feu pour vous protéger contre les vulnérabilités corrigées dans WordPress 5.9.2. Ces règles ont été déployées pour les utilisateurs de Wordfence Premium , Wordfence Care et Wordfence Response . Les utilisateurs gratuits de Wordfence recevront ces règles après 30 jours le 10 avril 2022.

Même si vous êtes protégé par le pare-feu Wordfence, nous vous encourageons à mettre à jour le noyau WordPress sur tous vos sites dès que possible, s'ils n'ont pas déjà été automatiquement mis à jour.

Contributor+ Stored Cross Site Scripting Vulnérabilité


Description : Contributor+ Stored XSS
Versions concernées : WordPress Core 5.9.0-5.9.1
ID CVE : En attente
Score CVSS : 8.0 (élevé)
Vecteur CVSS : CVSS : 3.1/AV : N/AC : L/PR : L/UI : R /S:U/C:H/I:H/A:H
Version entièrement corrigée :
 5.9.2
Chercheur/s : Ben Bidner

WordPress utilise une fonction appelée wp_ksespour supprimer les scripts malveillants des publications, qui est appelée wp_filter_post_kseschaque fois que le contenu de la publication est enregistré.

Les versions récentes de WordPress permettent un certain degré d'édition complète du site, y compris les styles globaux, qui utilisent leur propre fonction de nettoyage wp_filter_global_styles_post.

Malheureusement, cependant, la wp_filter_global_styles_postfonction a été exécutée après wp_filter_post_kses. Normalement, cela ne poserait pas de problème, mais wp_filter_global_styles_posteffectue un deuxième cycle de décodage JSON sur le contenu qui lui a été transmis, ce qui permet un certain nombre de contournements qui seraient normalement gérés par wp_kses.

La version corrigée s'exécute wp_filter_global_styles_postavant wp_filter_post_ksesafin que tous les contournements potentiels aient déjà été traités et wp_ksespuissent les nettoyer efficacement.

Cette vulnérabilité nécessite que l'attaquant ait la possibilité de modifier les publications et, à ce titre, il aurait besoin d'accéder au compte d'au moins un utilisateur de niveau Contributeur. Un attaquant capable d'exploiter avec succès cette vulnérabilité pourrait injecter du JavaScript malveillant dans une publication, qui, une fois prévisualisée par un administrateur, s'exécuterait. JavaScript s'exécutant dans la session d'un administrateur peut être utilisé pour prendre le contrôle d'un site via plusieurs méthodes, notamment l'ajout de nouveaux utilisateurs administratifs malveillants et l'injection de portes dérobées dans un site Web.

Vulnérabilités prototypes de pollution


Description : Prototype Pollution via le package Gutenberg wordpress/url
Versions concernées : WordPress Core < 5.9.2
ID CVE : En attente
Score CVSS : 5.0 (Moyen)
Vecteur CVSS : CVSS:3.1/AV:N/AC:H/PR:N/ UI:R/S:U/C:L/I:L/A:L
Version entièrement corrigée : 5.9.2
Chercheur(s) : Non crédité


Description : Pollution du prototype dans jQuery
Versions concernées : WordPress Core < 5.9.2
ID CVE : CVE-2021-20083
Score CVSS : 5.0 (Moyen)
Vecteur CVSS : CVSS:3.1/AV:N/AC:H/PR:N/UI :R/S:U/C:L/I:L/A:L
Version entièrement corrigée : 5.9.2
Chercheur(s) : Non crédité

Les vulnérabilités de pollution prototype permettent aux attaquants d'injecter des « propriétés » clé/valeur dans les objets JavaScript et sont à bien des égards similaires aux vulnérabilités d'injection d'objet PHP. Dans les cas où le serveur Web exécute JavaScript, comme avec Node.js, cela peut être utilisé pour réaliser des exploits de gravité critique tels que l'exécution de code à distance. WordPress, cependant, est une application PHP et ne fonctionne pas sur Node.js, donc l'impact de ces vulnérabilités est limité.

L'une de ces vulnérabilités était présente dans le package Gutenberg wordpress/url, tandis qu'une vulnérabilité distincte mais très similaire était présente dans jQuery, qui a été corrigée séparément et mise à jour vers jQuery 2.2.3.

Nous n'avons connaissance d'aucun exploit pratique pour le moment, mais de tels exploits ciblant WordPress nécessiteraient une interaction de l'utilisateur, comme un attaquant incitant une victime à cliquer sur un lien, similaire au Cross-Site Scripting (XSS).

Un attaquant capable d'exécuter avec succès JavaScript dans le navigateur d'une victime pourrait potentiellement prendre le contrôle d'un site, mais la complexité d'une attaque pratique est élevée et nécessiterait probablement l'installation d'un composant vulnérable distinct. Néanmoins, l'équipe Wordfence Threat Intelligence a publié une règle de pare-feu conçue pour bloquer les tentatives d'exploitation contre ces vulnérabilités.

Conclusion

Dans l'article d'aujourd'hui, nous avons couvert les 3 vulnérabilités corrigées dans la version de sécurité WordPress 5.9.2 . Les sites WordPress les plus utilisés devraient déjà avoir été corrigés via des mises à jour automatiques. Le pare-feu Wordfence offre également une protection contre ces vulnérabilités.

Malgré cela, nous vous recommandons fortement de mettre à jour votre site vers une version corrigée de WordPress s'il n'a pas été mis à jour automatiquement. Tant que vous utilisez une version de WordPress supérieure à 3.7, une mise à jour est disponible pour corriger ces vulnérabilités tout en vous gardant sur la même version majeure, vous ne devriez donc pas avoir à vous soucier des problèmes de compatibilité.

Aidez à sécuriser la communauté WordPress en partageant ces informations avec les propriétaires de sites WordPress de votre entourage.