WordPress a annoncé avoir corrigé quatre vulnérabilités classées jusqu’à 8 sur une échelle de 1 à 10. Les vulnérabilités se trouvent dans le cœur de WordPress lui-même et sont dues à des failles introduites par l’équipe de développement de WordPress elle-même.
Quatre vulnérabilités WordPress
L’annonce de WordPress manquait de détails sur la gravité des vulnérabilités et les détails étaient rares.
Cependant, la base de données nationale des vulnérabilités du gouvernement des États-Unis, où les vulnérabilités sont enregistrées et publiées, a évalué les vulnérabilités jusqu’à 8,0 sur une échelle de 1 à 10, dix représentant le niveau de danger le plus élevé.
Les quatre vulnérabilités sont :
- Injection SQL en raison d’un manque de nettoyage des données dans WP_Meta_Query (niveau de gravité élevé, 7,4)
- Injection d’objets authentifiée en multisites (niveau de gravité évalué moyen 6.6)
- Cross Site Scripting (XSS) stocké via des utilisateurs authentifiés (niveau de gravité élevé, 8.0)
- Injection SQL via WP_Query en raison d’un nettoyage incorrect (niveau de gravité élevé, 8.0)
Trois des quatre vulnérabilités ont été découvertes par des chercheurs en sécurité en dehors de WordPress. WordPress n’en avait aucune idée jusqu’à ce qu’ils soient notifiés.
Les vulnérabilités ont été divulguées en privé à WordPress, ce qui a permis à WordPress de résoudre les problèmes avant qu’ils ne soient largement connus.
Le développement de WordPress s’est précipité de manière dangereuse ?
Le développement de WordPress a ralenti en 2021 car ils n’ont pas pu terminer le travail sur la dernière version, 5.9, qui a vu cette version de WordPress repoussé à plus tard en 2022.
Il a été question au sein de WordPress de ralentir le rythme de développement en raison du souci de sa capacité à suivre le rythme.
Les développeurs principaux de WordPress eux-mêmes ont sonné l’alarme fin 2021 sur le rythme de développement, plaidant pour plus de temps.
Un des développeurs averti:
“Dans l’ensemble, il semble qu’en ce moment, nous précipitons les choses d’une manière dangereuse.”
Étant donné que WordPress ne peut pas respecter son propre calendrier de publication et envisage de réduire son calendrier de publication 2022 de quatre à trois, il faut s’interroger sur le rythme de développement de WordPress et s’il faut faire plus d’efforts pour s’assurer que les vulnérabilités ne sont pas par inadvertance diffusées à le public.
Problèmes de désinfection des données dans WordPress
Le nettoyage des données est un moyen de contrôler le type d’informations qui passe par les entrées et dans la base de données. La base de données contient des informations sur le site, y compris les mots de passe, les noms d’utilisateur, les informations sur l’utilisateur, le contenu et d’autres informations nécessaires au fonctionnement du site.
Documentation WordPress décrit le nettoyage des données :
“La désinfection est le processus de nettoyage ou de filtrage de vos données d’entrée. Que les données proviennent d’un utilisateur, d’une API ou d’un service Web, vous utilisez la désinfection lorsque vous ne savez pas à quoi vous attendre ou que vous ne voulez pas être strict avec la validation des données.
le Documentation indique que WordPress fournit des fonctions d’assistance intégrées pour se protéger contre les entrées malveillantes et que l’utilisation de ces fonctions d’assistance nécessite un effort minimal.
WordPress anticipe seize types de vulnérabilités d’entrée et fournit des solutions pour les bloquer.
Il est donc surprenant que les problèmes de désinfection des entrées apparaissent toujours au cœur même de WordPress lui-même.
Il y avait deux vulnérabilités de haut niveau liées à une désinfection incorrecte :
- WordPress : Injection SQL due à un mauvais nettoyage dans WP_Meta_Query
En raison du manque de désinfection appropriée dans WP_Meta_Query, il existe un potentiel d’injection SQL aveugle - WordPress : Injection SQL via WP_Query
En raison d’une mauvaise désinfection dans WP_Query, il peut y avoir des cas où l’injection SQL est possible via des plugins ou des thèmes qui l’utilisent d’une certaine manière.
Les autres vulnérabilités sont :
- WordPress : Injection d’objets authentifiés en multisites
Sur un multisite, les utilisateurs avec le rôle de super administrateur peuvent contourner le renforcement explicite/supplémentaire sous certaines conditions grâce à l’injection d’objet. - WordPress : XSS stocké via des utilisateurs authentifiés
Les utilisateurs authentifiés à faibles privilèges (comme l’auteur) dans le noyau de WordPress peuvent exécuter JavaScript/effectuer une attaque XSS stockée, ce qui peut affecter les utilisateurs à privilèges élevés.
WordPress recommande la mise à jour immédiate
Parce que les vulnérabilités sont maintenant au grand jour, il est important que les utilisateurs de WordPress s’assurent que leur installation WordPress est mise à jour vers la dernière version, actuellement 5.8.3.
WordPress a conseillé de mettre à jour l’installation immédiatement.
Citations
Lire l’avis officiel de WordPress
Version de sécurité WordPress 5.8.3
Rapports de la base de données nationale sur la vulnérabilité
Injection d’objets authentifiés en multisites
XSS stocké via des utilisateurs authentifiés
Mauvaise désinfection dans WP_Query
Injection SQL due à une mauvaise désinfection dans WP_Meta_Query
French
Arabic
Chinese (Simplified)
English
German
Italian
Russian
Spanish