Le plug-in de sécurité WordPress présente deux vulnérabilités qui pourraient permettre un téléchargement malveillant, des scripts intersites et permettre l'affichage du contenu de fichiers arbitraires.
Sécurité tout-en-un (AIOS) Plugin WordPress
Le plugin WordPress All-In-One Security (AIOS), fourni par les éditeurs d'UpdraftPlus, offre des fonctionnalités de sécurité et de pare-feu conçues pour bloquer les pirates.
Il offre un journal -une protection de sécurité qui verrouille les attaquants, une protection contre le plagiat, bloque les liens dynamiques, bloque les commentaires indésirables et un pare-feu qui sert de défense contre les menaces de piratage.
Le plug-in applique également une sécurité proactive en alertant les utilisateurs des erreurs courantes telles que l'utilisation du nom d'utilisateur "admin".
Il s'agit d'une suite de sécurité complète qui s'appuie par les créateurs d'Updraft Plus, l'un des éditeurs de plugins WordPress les plus fiables.
Ces qualités rendent AIOS très populaire, avec plus d'un million d'installations WordPress.
Deux vulnérabilités
La National Vulnerability Database (NVD) du gouvernement des États-Unis a publié une paire d'avertissements concernant deux vulnérabilités.
1. Échec du nettoyage des données
La première vulnérabilité est due à un échec du nettoyage des données, en particulier un échec d'échappement des fichiers journaux.
L'échappement des données est un processus de sécurité de base qui supprime toutes les données sensibles des sorties générées par un plugin.
WordPress a même une page de développeur consacrée au sujet , avec des exemples de comment le faire et quand le faire.
WordPress' la page du développeur sur l'échappement des sorties explique :
WordPress' la page du développeur sur l'échappement des sorties explique :la page du développeur sur l'échappement des sorties explique"L'échappement de la sortie est le processus de sécurisation des données de sortie en supprimant les données indésirables, comme le code HTML ou le script mal formé tags.
Ce processus permet de sécuriser vos données avant de les restituer à l'utilisateur final."
Le NVD décrit cette vulnérabilité :
"The All-In -Le plugin WordPress One Security (AIOS) avant 5.1.5 n'échappe pas au contenu des fichiers journaux avant de le publier sur la page d'administration du plugin, permettant à un utilisateur autorisé (admin+) de planter de faux fichiers journaux contenant du code JavaScript malveillant qui sera exécuté dans le contexte de tout administrateur visitant cette page."
"L'échappement de la sortie est le processus de sécurisation des données de sortie en supprimant les données indésirables, comme le code HTML ou le script mal formé tags.
Ce processus permet de sécuriser vos données avant de les restituer à l'utilisateur final."
Le NVD décrit cette vulnérabilité :
"The All-In -Le plugin WordPress One Security (AIOS) avant 5.1.5 n'échappe pas au contenu des fichiers journaux avant de le publier sur la page d'administration du plugin, permettant à un utilisateur autorisé (admin+) de planter de faux fichiers journaux contenant du code JavaScript malveillant qui sera exécuté dans le contexte de tout administrateur visitant cette page."
2 . Directory Traversal Vulnerability
La deuxième vulnérabilité semble être une vulnérabilité de Path Traversal.
Cette vulnérabilité permet à un attaquant d'exploiter une faille de sécurité afin d'accéder à des fichiers qui ne seraient normalement pas accessibles.
L'organisation à but non lucratif Open Worldwide Application Security Project (OWASP) met en garde qu'une attaque réussie pourrait compromettre des fichiers système critiques.
Open Worldwide Application Security Project (OWASP) met en garde"Une attaque par traversée de chemin (également connue sous le nom de traversée de répertoire) vise à accéder aux fichiers et répertoires qui sont stockés en dehors du dossier racine Web.
En manipulant des variables qui font référence à des fichiers avec des séquences 'point-point-barre (../)' et ses variations ou en utilisant des chemins de fichiers absolus, il peut être possible d'accéder à des fichiers et répertoires arbitraires stockés sur le système de fichiers, y compris le code source de l'application ou la configuration et les fichiers système critiques. »
"Une attaque par traversée de chemin (également connue sous le nom de traversée de répertoire) vise à accéder aux fichiers et répertoires qui sont stockés en dehors du dossier racine Web.
En manipulant des variables qui font référence à des fichiers avec des séquences 'point-point-barre (../)' et ses variations ou en utilisant des chemins de fichiers absolus, il peut être possible d'accéder à des fichiers et répertoires arbitraires stockés sur le système de fichiers, y compris le code source de l'application ou la configuration et les fichiers système critiques. »
Le NVD décrit cette vulnérabilité :
Le NVD décrit cette vulnérabilité :"Le plugin WordPress All-In-One Security (AIOS) avant 5.1.5 ne limite pas les fichiers journaux à afficher dans son pages de paramètres, permettant à un utilisateur autorisé (admin+) de visualiser le contenu de fichiers arbitraires et de répertorier les répertoires n'importe où sur le serveur (auxquels le serveur Web a accès).
Le plugin n'affiche que les 50 dernières lignes de le fichier."
"Le plugin WordPress All-In-One Security (AIOS) avant 5.1.5 ne limite pas les fichiers journaux à afficher dans son pages de paramètres, permettant à un utilisateur autorisé (admin+) de visualiser le contenu de fichiers arbitraires et de répertorier les répertoires n'importe où sur le serveur (auxquels le serveur Web a accès).
Le plugin n'affiche que les 50 dernières lignes de le fichier."
Les deux vulnérabilités nécessitent qu'un attaquant acquière des informations d'identification de niveau administrateur pour exploiter l'attaque, ce qui peut rendre l'attaque plus difficile.
Cependant, un s'attend à ce qu'un plugin de sécurité n'ait pas ces types de vulnérabilités évitables.
Envisagez de mettre à jour le plugin AIOS WordPress
AIOS a publié un correctif dans la version 5.1.6 du plugin. Les utilisateurs peuvent envisager de mettre à jour au moins la version 5.1.6, et éventuellement la dernière version, 5.1.7, qui corrige un plantage qui se produit lorsque le pare-feu n'est pas configuré.
Lire les deux NVD Bulletins de sécurité
CVE-2023-0157 Neutralisation incorrecte des entrées pendant Génération de pages Web ("Cross-site Scripting")
CVE-2023-0157 Neutralisation incorrecte des entrées pendant Génération de pages Web ("Cross-site Scripting")CVE-2023-0156 Limitation incorrecte d'un chemin d'accès à un répertoire restreint ("Path Traversal")
CVE-2023-0156 Limitation incorrecte d'un chemin d'accès à un répertoire restreint ("Path Traversal")Image sélectionnée par Shutterstock/Kues
Image sélectionnée par Shutterstock/Kues