Un méchant bug de plugin WordPress met 100 000 sites en danger

Publié le 16 novembre 2021 par Mycamer

Une faille de cross-site scripting (XSS) découverte dans le SEOPress Plugin WordPress pourrait permettre aux attaquants d’injecter des scripts Web arbitraires dans des installations vulnérables et de s’emparer de sites Web.

SEOPress est un populaire Plugin de référencement qui est conçu spécifiquement pour les sites Web qui exécutent WordPress et utilisé sur environ 100 000 sites.

La faille a été découverte par des experts en sécurité WordPress à Wordfence, qui l’a porté à l’attention du développeur du plugin le mois dernier.

« Une fonctionnalité que le plugin implémente est la possibilité d’ajouter un titre et une description SEO aux publications, et cela peut être fait tout en enregistrant les modifications dans une publication ou via un point de terminaison REST-API nouvellement introduit. Malheureusement, ce point de terminaison REST-API n’a pas été implémenté de manière non sécurisée », a écrit Chloé Chamberland, analyste des menaces chez Wordfence.

Charges utiles malveillantes

Chamberland estime que les vulnérabilités de scriptage intersites telles que celle découverte dans SEOPress peuvent être exploitées pour exécuter diverses actions malveillantes, telles que la création de nouveaux comptes administratifs, l’injection de webshell, les redirections arbitraires, et pourraient même permettre à un attaquant de prendre le contrôle d’un site WordPress.

Partageant des détails techniques sur la vulnérabilité, Chamberland écrit qu’elle pourrait être exploitée par tout utilisateur authentifié, tel qu’un abonné régulier, pour mettre à jour le titre et la description SEO de tout message.

« La charge utile pourrait inclure des scripts Web malveillants, comme JavaScript, en raison d’un manque de désinfection ou d’échappement sur les paramètres stockés », explique Chamberland, ajoutant que ces scripts s’exécuteraient à chaque fois qu’un utilisateur accéderait à la page « Tous les messages ».

Cette faille a été entièrement corrigée dans la version SEOPress v5.0.4, et Wordfence exhorte tous les utilisateurs du plugin à mettre à jour leurs installations.

— to www.techradar.com