Un plugin anti-spam WordPress avec plus de 60 000 installations a corrigé une vulnérabilité d'injection d'objet PHP résultant d'un nettoyage incorrect des entrées, permettant par la suite une entrée utilisateur encodée en base64.
Injection d'objet PHP non authentifiée
h2>
Une vulnérabilité a été découverte dans le populaire Stop Spammers Security | Bloquer les utilisateurs de spam, les commentaires, les formulaires du plugin WordPress.
Le but du plugin est d'arrêter le spam dans les commentaires, les formulaires et les inscriptions. Il peut arrêter les spambots et permet aux utilisateurs de saisir des adresses IP à bloquer.
C'est une pratique obligatoire pour tout plugin ou formulaire WordPress qui accepte une entrée utilisateur pour n'autoriser que des entrées spécifiques, comme du texte, images, adresses e-mail, toute entrée attendue.
Les entrées inattendues doivent être filtrées. Ce processus de filtrage qui empêche les entrées indésirables est appelé nettoyage.
Par exemple, un formulaire de contact doit avoir une fonction qui inspecte ce qui est soumis et bloque (nettoie) tout ce qui ne l'est pas text.
La vulnérabilité découverte dans le plugin anti-spam permettait la saisie codée ( encodé en base64) qui peut alors déclencher un type de vulnérabilité appelée vulnérabilité d'injection d'objet PHP.
La description de la vulnérabilité publié sur le site Web de WPScan décrit le problème comme :
"Le plugin transmet l'entrée utilisateur encodée en base64 à la fonction PHP unserialize() lorsque CAPTCHA est utilisé comme deuxième défi, ce qui pourrait conduire à l'injection d'objet PHP si un plugin installé sur le blog a une fonction appropriée chaîne de gadgets…"
La classification de la vulnérabilité est Désérialisation non sécurisée.
L'organisation à but non lucratif Open Le projet de sécurité des applications Web (OWASP) décrit l'impact potentiel de ces types de vulnérabilités comme grave, ce qui peut ou non être le cas spécifique à cette vulnérabilité.
Le description à l'OWASP :
"L'impact des failles de désérialisation ne peut pas être exagéré. Ces failles peuvent conduire à des attaques d'exécution de code à distance, l'une des attaques les plus graves possibles.
L'impact sur l'entreprise dépend des besoins de protection de l'application et des données. »
Mais OWASP note également que l'exploitation de ce type de vulnérabilité a tendance à être difficile :
"L'exploitation de la désérialisation est quelque peu difficile, car les exploits prêts à l'emploi fonctionnent rarement sans modifications ou ajustements du code d'exploitation sous-jacent."
La vulnérabilité du plugin WordPress Stop Spammers Security a été corrigée en version 2022.6
Le Stop Spammers Security changelog (une description avec les dates des différentes mises à jour) note le correctif comme une amélioration de la sécurité.< /p>
Les utilisateurs du plugin Stop Spam Security devraient envisager de mettre à jour vers la dernière version afin d'empêcher un pirate d'exploiter le plugin.
Lire la notification officielle dans la base de données nationale des vulnérabilités du gouvernement des États-Unis :
CVE-2022-4120 Detail
Lire la publication WPScan des détails r en rapport avec cette vulnérabilité :
Stop Spammers Security < 2022.6 - Injection d'objets PHP non authentifiés
Image sélectionnée par Shutterstock/Luis Molinero
Une vulnérabilité a été découverte dans le populaire Stop Spammers Security | Bloquer les utilisateurs de spam, les commentaires, les formulaires du plugin WordPress.
Le but du plugin est d'arrêter le spam dans les commentaires, les formulaires et les inscriptions. Il peut arrêter les spambots et permet aux utilisateurs de saisir des adresses IP à bloquer.
C'est une pratique obligatoire pour tout plugin ou formulaire WordPress qui accepte une entrée utilisateur pour n'autoriser que des entrées spécifiques, comme du texte, images, adresses e-mail, toute entrée attendue.
Les entrées inattendues doivent être filtrées. Ce processus de filtrage qui empêche les entrées indésirables est appelé nettoyage.
nettoyagePar exemple, un formulaire de contact doit avoir une fonction qui inspecte ce qui est soumis et bloque (nettoie) tout ce qui ne l'est pas text.
La vulnérabilité découverte dans le plugin anti-spam permettait la saisie codée ( encodé en base64) qui peut alors déclencher un type de vulnérabilité appelée vulnérabilité d'injection d'objet PHP.
La description de la vulnérabilité publié sur le site Web de WPScan décrit le problème comme :
publié"Le plugin transmet l'entrée utilisateur encodée en base64 à la fonction PHP unserialize() lorsque CAPTCHA est utilisé comme deuxième défi, ce qui pourrait conduire à l'injection d'objet PHP si un plugin installé sur le blog a une fonction appropriée chaîne de gadgets…"
"Le plugin transmet l'entrée utilisateur encodée en base64 à la fonction PHP unserialize() lorsque CAPTCHA est utilisé comme deuxième défi, ce qui pourrait conduire à l'injection d'objet PHP si un plugin installé sur le blog a une fonction appropriée chaîne de gadgets…"
La classification de la vulnérabilité est Désérialisation non sécurisée.
Désérialisation non sécuriséeL'organisation à but non lucratif Open Le projet de sécurité des applications Web (OWASP) décrit l'impact potentiel de ces types de vulnérabilités comme grave, ce qui peut ou non être le cas spécifique à cette vulnérabilité.
Le description à l'OWASP :
description"L'impact des failles de désérialisation ne peut pas être exagéré. Ces failles peuvent conduire à des attaques d'exécution de code à distance, l'une des attaques les plus graves possibles.
L'impact sur l'entreprise dépend des besoins de protection de l'application et des données. »
"L'impact des failles de désérialisation ne peut pas être exagéré. Ces failles peuvent conduire à des attaques d'exécution de code à distance, l'une des attaques les plus graves possibles.
L'impact sur l'entreprise dépend des besoins de protection de l'application et des données. »
Mais OWASP note également que l'exploitation de ce type de vulnérabilité a tendance à être difficile :
"L'exploitation de la désérialisation est quelque peu difficile, car les exploits prêts à l'emploi fonctionnent rarement sans modifications ou ajustements du code d'exploitation sous-jacent."
"L'exploitation de la désérialisation est quelque peu difficile, car les exploits prêts à l'emploi fonctionnent rarement sans modifications ou ajustements du code d'exploitation sous-jacent."
La vulnérabilité du plugin WordPress Stop Spammers Security a été corrigée en version 2022.6
Le Stop Spammers Security changelog (une description avec les dates des différentes mises à jour) note le correctif comme une amélioration de la sécurité.< /p>
Stop Spammers Security changelogLes utilisateurs du plugin Stop Spam Security devraient envisager de mettre à jour vers la dernière version afin d'empêcher un pirate d'exploiter le plugin.
Lire la notification officielle dans la base de données nationale des vulnérabilités du gouvernement des États-Unis :
CVE-2022-4120 Detail
CVE-2022-4120 DetailLire la publication WPScan des détails r en rapport avec cette vulnérabilité :
Stop Spammers Security < 2022.6 - Injection d'objets PHP non authentifiés
Stop Spammers Security < 2022.6 - Injection d'objets PHP non authentifiésImage sélectionnée par Shutterstock/Luis Molinero