Le plugin de sécurité WordPress a découvert deux vulnérabilités qui pourraient permettre un téléchargement malveillant, des scripts intersites et permettre la visualisation du contenu de fichiers arbitraires.
Plugin WordPress de sécurité tout-en-un (AIOS)
Le plugin WordPress All-In-One Security (AIOS), fourni par les éditeurs d’UpdraftPlus, offre des fonctionnalités de sécurité et de pare-feu conçues pour bloquer les pirates.
Il offre une protection de sécurité de connexion qui verrouille les attaquants, une protection contre le plagiat, bloque les liens dynamiques, bloque les commentaires indésirables et un pare-feu qui sert de défense contre les menaces de piratage.
Le plugin applique également une sécurité proactive en alertant les utilisateurs des erreurs courantes telles que l’utilisation du nom d’utilisateur “admin”.
Il s’agit d’une suite de sécurité complète soutenue par les créateurs d’Updraft Plus, l’un des éditeurs de plugins WordPress les plus fiables.
Ces qualités rendent AIOS très populaire, avec plus d’un million d’installations WordPress.
Deux vulnérabilités
La National Vulnerability Database (NVD) du gouvernement des États-Unis a publié une paire d’avertissements concernant deux vulnérabilités.
1. Échec de la désinfection des données
La première vulnérabilité est due à un échec de nettoyage des données, en particulier un échec d’échappement des fichiers journaux.
L’échappement des données est un processus de sécurité de base qui supprime toutes les données sensibles des sorties générées par un plugin.
WordPress a même une page développeur consacrée au sujet, avec des exemples de comment le faire et quand le faire.
WordPress’ la page développeur sur l’échappement des sorties explique:
“Échapper à la sortie est le processus de sécurisation des données de sortie en supprimant les données indésirables, telles que les balises HTML ou de script mal formées.
Ce processus permet de sécuriser vos données avant de les restituer à l’utilisateur final.
Le NVD décrit cette vulnérabilité :
“Le plugin WordPress All-In-One Security (AIOS) avant 5.1.5 n’échappe pas au contenu des fichiers journaux avant de le publier sur la page d’administration du plugin, permettant à un utilisateur autorisé (admin+) de planter de faux fichiers journaux contenant du code JavaScript malveillant. qui sera exécuté dans le contexte de tout administrateur visitant cette page. »
2. Vulnérabilité de traversée de répertoire
La deuxième vulnérabilité semble être une vulnérabilité Path Traversal.
Cette vulnérabilité permet à un attaquant d’exploiter une faille de sécurité afin d’accéder à des fichiers qui ne seraient normalement pas accessibles.
L’association à but non lucratif L’Open Worldwide Application Security Project (OWASP) met en garde qu’une attaque réussie pourrait compromettre des fichiers système critiques.
« Une attaque par traversée de chemin (également connue sous le nom de traversée de répertoire) vise à accéder aux fichiers et répertoires stockés en dehors du dossier racine Web.
En manipulant des variables qui référencent des fichiers avec des séquences ‘point-point-barre (../)’ et ses variantes ou en utilisant des chemins de fichiers absolus, il peut être possible d’accéder à des fichiers et répertoires arbitraires stockés sur le système de fichiers, y compris le code source de l’application ou la configuration et les fichiers système critiques.
Le NVD décrit cette vulnérabilité :
“Le plugin WordPress All-In-One Security (AIOS) avant la version 5.1.5 ne limite pas les fichiers journaux à afficher dans ses pages de paramètres, permettant à un utilisateur autorisé (admin +) de visualiser le contenu de fichiers arbitraires et de répertorier les répertoires n’importe où sur le serveur (auquel le serveur Web a accès).
Le plugin n’affiche que les 50 dernières lignes du fichier.
Les deux vulnérabilités nécessitent qu’un attaquant acquière des informations d’identification de niveau administrateur pour exploiter l’attaque, ce qui peut rendre plus difficile la réalisation de l’attaque.
Cependant, on s’attend à ce qu’un plugin de sécurité n’ait pas ce genre de vulnérabilités évitables.
Envisagez de mettre à jour le plugin AIOS WordPress
AIOS a publié un correctif dans la version 5.1.6 du plugin. Les utilisateurs peuvent envisager de mettre à jour au moins la version 5.1.6, et éventuellement la dernière version, 5.1.7, qui corrige un plantage qui se produit lorsque le pare-feu n’est pas configuré.
Lire les deux bulletins de sécurité NVD
CVE-2023-0156 Limitation incorrecte d’un chemin d’accès à un répertoire restreint (“Path Traversal”)
Image sélectionnée par Shutterstock/Kues
to www.searchenginejournal.com
Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931
Firefox 118 disponible avec des améliorations de performances et des traductions automatisées