Les chercheurs ont découvert une vulnérabilité dans le constructeur de pages WP Bakery qui permet à un attaquant d’injecter du code JavaScript malveillant dans les pages et les publications. La vulnérabilité permet à un attaquant d’injecter du code dans des pages et des publications qui attaquent ensuite les navigateurs des visiteurs du site.
Vulnérabilité des scripts intersites stockés authentifiés (XSS)
Les vulnérabilités de scripts intersites se caractérisent par le fait qu’un attaquant obtient la capacité de cibler les navigateurs des visiteurs grâce à l’utilisation de scripts malveillants placés subrepticement sur un site Web.
Les attaques XSS font partie des types de vulnérabilités les plus répandus.
Cette attaque spécifique est appelée une vulnérabilité de script inter-sites stocké authentifié. Une vulnérabilité XSS stockée est une vulnérabilité dans laquelle un script est placé dans le site Web lui-même par un attaquant.
Publicité
Continuer la lecture ci-dessous
Mais il s’agit d’une vulnérabilité XSS Authenticated Stored, ce qui signifie que l’attaquant doit disposer des informations d’identification du site Web pour exécuter l’attaque.
Cela rend le risque moins critique car cela oblige un attaquant à franchir une étape supplémentaire pour acquérir des informations d’identification.
En rapport: Comment la sécurité du site Web affecte-t-elle votre référencement ?
Vulnérabilité XSS stockée authentifiée par WP Bakery
Cette vulnérabilité spécifique de WP Bakery nécessite que l’attaquant obtienne des informations d’identification au niveau du contributeur ou de l’auteur pour publier sur un site Web.
Une fois qu’un attaquant dispose des informations d’identification, il peut injecter des scripts sur n’importe quel article ou page. Il donne également à l’attaquant la possibilité de modifier les messages créés par d’autres utilisateurs.
Publicité
Continuer la lecture ci-dessous
Cette vulnérabilité était composée de multiples failles.
Les failles ont permis l’injection de HTML et de JavaScript dans des publications ou des pages d’utilisateurs accrédités ainsi que dans celles d’autres auteurs. Il y avait aussi une autre faille spécifique qui ciblait les boutons auxquels était attachée une fonctionnalité JavaScript.
Selon WordFence :
« Le plugin avait également une fonctionnalité onclick personnalisée pour les boutons. Cela a permis à un attaquant d’injecter du JavaScript malveillant dans un bouton qui s’exécuterait sur un clic sur le bouton. De plus, les utilisateurs de niveau contributeur et auteur ont pu utiliser les vc_raw_js, vc_raw_html et le bouton à l’aide des shortcodes custom_onclick pour ajouter du JavaScript malveillant aux publications.
WP Bakery Page Builder 6.4 et moins sont affectés
La vulnérabilité a été découverte fin juillet 2020. WP Bakery a publié un correctif fin août, mais d’autres problèmes subsistaient, notamment dans un deuxième correctif publié début septembre.
Le correctif final qui a fermé la vulnérabilité a été publié le 24 septembre 2020.
Les développeurs de logiciels de plugin publient un journal des modifications. Le contenu du journal des modifications est ce qui apparaît dans la zone du plugin d’administration WordPress qui communique en quoi consiste une mise à jour.
Malheureusement, le journal des modifications de WP Bakery ne reflète pas l’urgence de la mise à jour car il ne dit pas explicitement qu’il corrige une vulnérabilité. Le journal des modifications fait référence aux correctifs de vulnérabilité en tant qu’améliorations.
Publicité
Continuer la lecture ci-dessous
Capture d’écran du journal des modifications de WP Bakery Page Builder
Le plugin WP Bakery Page Builder est souvent inclus dans les thèmes. Les éditeurs doivent vérifier leurs plugins et s’assurer qu’ils disposent de la version la plus récente et la plus sûre, à savoir la 6.4.1.
Publicité
Continuer la lecture ci-dessous
Citations
La vulnérabilité expose plus de 4 millions de sites utilisant WPBakery
Journal des modifications de WP Bakery Page Builder
https://kb.wpbakery.com/docs/preface/release-notes/
