Découverte d'une faille de type 0day dans WordPress

par ·


  • FrançaisFrançais


    • Suivez-nous sur notre page Facebook et notre canal Telegram


    faille-wordpress

    Les webmestres doivent immédiatement mettre à jour WordPress vers la version 4.2.1.

    2 jours après la sortie de WordPress 4.2, 2 failles de type XSS ont été découvertes dans WordPress. Ces failles sont de type 0day signifiant qu’elles concernent toutes les versions récentes de WordPress et qu’elles n’ont jamais été détecté jusqu’à présent. Ces failles permettent à un pirate d’injecter du code dans du contenu HTML qui est traité par les administrateurs du site. L’attaque fonctionne en intégrant du code malveillant dans les commentaires de n’importe quel article WordPress. Ensuite, les pirates peuvent changer les mots de passe, ajouter des administrateurs et effectuer n’importe quelle action propre à un administrateur.

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Selon Jouko Pynnönen, le chercheur qui a découvert la faille : Si l’action est déclenchée par un administrateur, alors le pirate peut augmenter le niveau de la menace en exécutant du code arbitraire sur le serveur via les plugins et les éditeurs de thème.

    L’exploit fonctionne en publiant un simple code JavaScript comme un commentaire et en ajoutant une quantité massive de texte d’environ 66 000 caractères ou qui pèse 64 ko. Une fois que le commentaire est traité par l’administrateur du site, le code malveillant est déclenché sans aucun avertissement qu’une attaque est en cours. Si les commentaires du blog utilisent les réglages par défaut, alors un commentaire est en attente d’approbation avant sa publication. Les pirates peuvent contourner cette protection en publiant un commentaire anodin pour lancer l’attaque dans leurs prochains commentaires. Dans les réglages par défaut de commentaire, un auteur qui a été approuvé une fois est automatiquement autorisé pour tous ses prochains commentaires.

    Le chercheur a publié une preuve à l’appui du code qui permet d’attaquer le site :

    <a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA [64 kb] ...'>
    

    Et une vidéo qui démontre le processus :
    Cette nouvelle faille est très similaire à la précédente sur WordPress qui concernait le CMS, mais également de nombreux plugins. La sortie de 4.2 avait corrigé ces premières failles, mais celle-ci n’avait pas encore été détectée. WordPress a immédiatement réagi en publiant une nouvelle version avec WordPress 4.2.1 pour corriger cette nouvelle faille.
    

     
    Suivez nous sur Google News
    

    Mes livres
    


    


    






    

    
Le Basilic de Roko
Mon parcours de rédacteur web
Science corrompue et servile
Nous, Tueurs en série

    
    

    

    


    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊
    

    			

          
        
    
		  


        
        
    
      
    

    
    





  
    



    


    Tags: 
    
  
    
    
    
    
    Houssen Moshinaly
    
    
    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009.
    


    Blogueur et essayiste, j'ai écrit 9 livres sur différents sujets comme la corruption en science, les singularités technologiques ou encore des fictions. Je propose aujourd'hui des analyses politiques et géopolitiques sur le nouveau monde qui arrive. J'ai une formation de rédaction web et une longue carrière de prolétaire.

    


    Pour me contacter personnellement :
    


    
    
    
  
    


    
    


    

    

	
					
		
	
		
    
		
    Laisser un commentaire 
    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *