Un plugin anti-malware WordPress populaire a été découvert pour avoir une vulnérabilité de script intersite reflétée. Il s’agit d’un type de vulnérabilité qui peut permettre à un attaquant de compromettre un utilisateur de niveau administrateur du site Web affecté.

Plugin WordPress affecté

Le plugin découvert pour contenir la vulnérabilité est Anti-Malware Security et Brute-Force Firewall, qui est utilisé par plus de 200 000 sites Web.

Anti-Malware Security et Brute-Force Firewall est un plugin qui défend un site Web en tant que pare-feu (pour bloquer les menaces entrantes) et en tant que scanner de sécurité, pour vérifier les menaces de sécurité sous la forme de piratages de porte dérobée et d’injections de bases de données.

Une version premium défend les sites Web contre les attaques par force brute qui tentent de deviner le mot de passe et les noms d’utilisateur et protège contre les attaques DDoS.

Vulnérabilité de script intersite reflétée

Ce plugin s’est avéré contenir une vulnérabilité qui permettait à un attaquant de lancer une attaque de type Reflected Cross-Site Scripting (XSS réfléchi).

Une vulnérabilité de script intersite reflétée dans ce contexte est celle dans laquelle un site Web WordPress ne limite pas correctement ce qui peut être entré dans le site.

Le fait de ne pas restreindre (désinfecter) ce qui est téléchargé revient essentiellement à laisser la porte d’entrée du site Web déverrouillée et à permettre à pratiquement tout d’être téléchargé.

Un pirate profite de cette vulnérabilité en téléchargeant un script et en faisant en sorte que le site Web le reflète.

Lorsqu’une personne disposant d’autorisations de niveau administrateur visite une URL compromise créée par l’attaquant, le script est activé avec les autorisations de niveau administrateur stockées dans le navigateur de la victime.

Le rapport WPScan sur la sécurité anti-malware et le pare-feu Brute-Force décrit la vulnérabilité  :

« Le plugin ne nettoie pas et n’échappe pas à QUERY_STRING avant de le renvoyer dans une page d’administration, ce qui conduit à un script intersite réfléchi dans les navigateurs qui n’encodent pas les caractères »

La base de données nationale des vulnérabilités du gouvernement des États-Unis n’a pas encore attribué à cette vulnérabilité un score de niveau de gravité.

La vulnérabilité de ce plugin est appelée une vulnérabilité XSS réfléchie.

Il existe d’autres types de vulnérabilités XSS, mais il s’agit de trois types principaux  :

  • Vulnérabilité de script intersite stocké (XSS stocké)
  • Script intersite aveugle (XSS aveugle)
  • XSS réfléchi

Dans une vulnérabilité XSS stockée et une vulnérabilité XSS aveugle, le script malveillant est stocké sur le site Web lui-même. Ceux-ci sont généralement considérés comme une menace plus élevée car il est plus facile d’obtenir qu’un utilisateur de niveau administrateur déclenche le script. Mais ce ne sont pas ceux qui ont été découverts dans le plugin.

Dans un XSS reflété, qui a été découvert dans le plugin, une personne avec des informations d’identification de niveau administrateur doit être amenée à cliquer sur un lien (par exemple à partir d’un e-mail) qui reflète ensuite la charge utile malveillante du site Web.

L’Open Web Application Security Project (OWASP) à but non lucratif décrit un XSS réfléchi comme ceci  :

« Les attaques réfléchies sont celles où le script injecté est réfléchi sur le serveur Web, comme dans un message d’erreur, un résultat de recherche ou toute autre réponse qui inclut tout ou partie des entrées envoyées au serveur dans le cadre de la requête.

Les attaques réfléchies sont transmises aux victimes via une autre voie, comme dans un message électronique ou sur un autre site Web.

Mise à jour vers la version 4.20.96 recommandée

Il est généralement recommandé d’avoir une sauvegarde de vos fichiers WordPress avant de mettre à jour un plugin ou un thème.

La version 4.20.96 du plugin WordPress Anti-Malware Security and Brute-Force Firewall contient un correctif pour la vulnérabilité.

Il est recommandé aux utilisateurs du plugin d’envisager de mettre à jour leur plugin vers la version 4.20.96.

Citations

Lire les détails de la base de données des vulnérabilités des États-Unis

CVE-2022-0953 Détail

Lire le rapport WPScan sur la vulnérabilité

Sécurité anti-malware et pare-feu Brute-Force < 4.20.96 - Script intersite réfléchi

Lisez le journal des modifications officiel qui documente la version corrigée

Journal des modifications de la sécurité anti-malware et du pare-feu Brute-Force

Categories: SEO

S’abonner
Notification pour
guest

Commentaires
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x