WordPress 4.2.1 corrige une nouvelle faille de sécurité critique

Par:
fredericmazue

mer, 29/04/2015 - 12:15

Vous avez bien lu : WordPress 4.2.1. A ne pas confondre, donc, avec la mise à jour de sécurité WordPress 4.1.2 publiée la semaine dernière qui remédiait à des vulnérabilités de Cross Site Scripting et d'injection SQL.

C'était déjà pas mal, question vulnérabilités, mais celle comblée par WordPress 4.2.1 est critique. En effet, un exploit (facile) de cette vulnérabilité permet de modifier le mot de passe administrateur, créer des comptes avec les droits administrateur, modifier des contenus, injecter du smap, et autres réjouissances, comme, à priori, installer des backdoors.

Il s'agit à nouveau d'une faille Cross Site Scripting, ou XSS. Pour l'exploiter, l'attaquant écrit du code malveillant en commentaire d'un contenu. Lorsque l'administrateur consulte le commentaire pour le modérer, le code malveillant agit. Si le commentaire est visionné par quelqu'un qui n'a pas les droits administrateur, les dégâts seront moindres ou nuls.

Le principe de l'attaque repose sur le fait que les commentaires de contenus sont stockées par WordPress en base de données MySQL sous le type TEXT dont la capacité est limitée à 64 Ko. Si le commentaire dépasse cette taille, il est tronquée brutalement, ce qui abouti à du code HTML malformé qui apparaît sur la page. Code malformé donc non correctement filtré à l'affichage et pouvant ainsi contenir du JavaScript malveillant qui sera exécuté.

Le chercher en sécurité finlandais Jouko Pynnönen donne ce code à titre de preuve de concept :

<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA...[64 kb]..AAA'></a>

La vulnérabilité a été constatée avec WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. et MySQL 5.1.53 et 5.5.41.

L'exploit est démontré dans la vidéo ci-dessous.

Etrangement, Jouko Pynnönen indique que la société Klikki Oy pour laquelle il travaille a des problèmes relationnels avec WordPres, qui lui donne des fins de non recevoir depuis novembre 2014, en ce qui concerne les vulnérabilités qu'elle découvre.

Quoi qu'il en soit appliquez rapidement cette mise à jour de votre WordPress, surtout si votre site permet d'apporter des commentaires aux contenus.