Les chercheurs en sécurité de Jetpack ont ​​découvert deux vulnérabilités sérieuses dans le plugin All In One SEO. Les vulnérabilités pourraient permettre à un pirate informatique d’accéder aux noms d’utilisateur et aux mots de passe et également d’effectuer des exploits d’exécution de code à distance.

Les vulnérabilités dépendent les unes des autres pour réussir. La première s’appelle une attaque par escalade de privilèges, qui permet à un utilisateur avec un faible niveau de privilège d’accès au site Web (comme un abonné) d’augmenter son niveau de privilège à un niveau de privilèges d’accès plus élevé (comme un administrateur de site Web).

Les chercheurs en sécurité de Jetpack décrivent la vulnérabilité comme grave et mettent en garde contre les conséquences suivantes  :

Publicité

Continuer la lecture ci-dessous

« Si elle est exploitée, la vulnérabilité SQL Injection pourrait permettre aux attaquants d’accéder à des informations privilégiées de la base de données du site concerné (par exemple, les noms d’utilisateur et les mots de passe hachés). »

Escalade de privilèges authentifiés

L’un des exploits est une vulnérabilité d’escalade de privilèges authentifiés qui exploite l’API WordPress REST, permettant à un attaquant d’accéder aux noms d’utilisateur et aux mots de passe.

L’API REST est un moyen pour les développeurs de plugins d’interagir avec l’installation de WordPress de manière sécurisée pour activer des fonctionnalités qui ne compromettent pas la sécurité.

Cette vulnérabilité exploite les points de terminaison de l’API WordPress REST (URL représentant les publications, etc.). Les attaques sur l’API REST sont de plus en plus un point faible de la sécurité de WordPress.

Publicité

Continuer la lecture ci-dessous

Mais ce n’est pas la faute de WordPress car l’API REST est conçue dans un souci de sécurité.

La faute, si les doigts doivent être pointés, incombe entièrement aux plugins.

Dans le plugin All In One SEO, le problème résidait dans les contrôles de sécurité qui vérifient si un utilisateur accédant à un point de terminaison d’API disposait des bonnes informations d’identification de privilège.

Selon Jetpack :

« Les contrôles de privilège appliqués par All In One SEO pour sécuriser les points de terminaison de l’API REST contenaient un bogue très subtil qui aurait pu accorder aux utilisateurs disposant de comptes peu privilégiés (comme les abonnés) l’accès à chaque point de terminaison enregistré par le plug-in.

… Comme cela ne tenait pas compte du fait que WordPress traite les routes de l’API REST comme des chaînes insensibles à la casse, changer un seul caractère en majuscule contournerait complètement la routine de vérification des privilèges.

Hum… non ?

Injection SQL authentifiée

Le deuxième exploit est une injection SQL authentifiée. Cela repose sur le fait qu’un attaquant dispose d’abord d’informations d’identification d’utilisateur, même aussi faibles qu’un abonné à un site Web.

Une injection SQL est l’exploitation d’une entrée avec une série inattendue de code ou de caractères qui permet ensuite l’exploit, comme fournir un accès.

Le site à but non lucratif Open Web Application Security Project (OWASP) définit une injection SQL comme celle-ci  :

  1. « Une donnée involontaire entre dans un programme à partir d’une source non fiable
  2. Les données sont utilisées pour construire dynamiquement une requête SQL »

Jetpack note que la vulnérabilité d’élévation des privilèges permet à un attaquant de monter ensuite l’attaque par injection SQL authentifiée.

Publicité

Continuer la lecture ci-dessous

« Bien que ce point de terminaison n’ait pas été conçu pour être accessible aux utilisateurs disposant de comptes à faibles privilèges, le vecteur d’attaque par escalade de privilèges susmentionné leur a permis d’abuser de cette vulnérabilité. »

Mise à jour du plugin SEO recommandée

Cette vulnérabilité affecte les versions 4.0.0 à 4.1.5.2. La dernière version à l’heure actuelle, 4.1.5.3 est la version la plus sûre pour la mise à jour. Les chercheurs en sécurité de Jetpack recommandent la mise à jour vers la dernière version.

Citations

Lisez le rapport de vulnérabilité Jetpack  :

De graves vulnérabilités corrigées dans la version 4.1.5.3 du plugin All In One SEO

Lisez ce qu’est une injection SQL

Injection SQL

Categories: SEO

S’abonner
Notification pour
guest

Commentaires
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x