Découverte d'une faille de type 0day dans WordPress


  • FrançaisFrançais



  • faille-wordpress

    Les webmestres doivent immédiatement mettre à jour WordPress vers la version 4.2.1.


    2 jours après la sortie de WordPress 4.2, 2 failles de type XSS ont été découvertes dans WordPress. Ces failles sont de type 0day signifiant qu’elles concernent toutes les versions récentes de WordPress et qu’elles n’ont jamais été détecté jusqu’à présent. Ces failles permettent à un pirate d’injecter du code dans du contenu HTML qui est traité par les administrateurs du site. L’attaque fonctionne en intégrant du code malveillant dans les commentaires de n’importe quel article WordPress. Ensuite, les pirates peuvent changer les mots de passe, ajouter des administrateurs et effectuer n’importe quelle action propre à un administrateur.

    Selon Jouko Pynnönen, le chercheur qui a découvert la faille : Si l’action est déclenchée par un administrateur, alors le pirate peut augmenter le niveau de la menace en exécutant du code arbitraire sur le serveur via les plugins et les éditeurs de thème.

    L’exploit fonctionne en publiant un simple code JavaScript comme un commentaire et en ajoutant une quantité massive de texte d’environ 66 000 caractères ou qui pèse 64 ko. Une fois que le commentaire est traité par l’administrateur du site, le code malveillant est déclenché sans aucun avertissement qu’une attaque est en cours. Si les commentaires du blog utilisent les réglages par défaut, alors un commentaire est en attente d’approbation avant sa publication. Les pirates peuvent contourner cette protection en publiant un commentaire anodin pour lancer l’attaque dans leurs prochains commentaires. Dans les réglages par défaut de commentaire, un auteur qui a été approuvé une fois est automatiquement autorisé pour tous ses prochains commentaires.

    Le chercheur a publié une preuve à l’appui du code qui permet d’attaquer le site :

    <a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA [64 kb] ...'>
    
    

    Et une vidéo qui démontre le processus :

    Cette nouvelle faille est très similaire à la précédente sur WordPress qui concernait le CMS, mais également de nombreux plugins. La sortie de 4.2 avait corrigé ces premières failles, mais celle-ci n’avait pas encore été détectée. WordPress a immédiatement réagi en publiant une nouvelle version avec WordPress 4.2.1 pour corriger cette nouvelle faille.

     

    N'oubliez pas de voter pour cet article !
    1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
    Loading...

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009 et vulgarisateur scientifique.

    Je m'intéresse à tous les sujets scientifiques allant de l'Archéologie à la Zoologie. Je ne suis pas un expert, mais j'essaie d'apporter mes avis éclairés sur de nombreux sujets scientifiques.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.