La base de données nationale américaine sur les vulnérabilités (NVD) et Wordfence ont publié un avis de sécurité concernant une vulnérabilité de gravité élevée de type Cross Site Request Forgery (CSRF) affectant le plugin WordPress Nested Pages et affectant jusqu'à +100 000 installations. La vulnérabilité a reçu une note CVSS (Common Vulnerability Scoring System) de 8,8 sur une échelle de 1 à 10, dix représentant le niveau de gravité le plus élevé.
- Une vulnérabilité de gravité élevée du plugin WordPress Nested Pages a été signalée par la NVD et Wordfence.
- Il s’agit d’une faille de type Cross Site Request Forgery (CSRF) touchant plus de 100 000 installations.
- La vulnérabilité est due à des validations manquantes dans le plugin, ce qui la rend potentiellement dangereuse.
- Un correctif de sécurité a été publié dans la version 3.2.8 du plugin pour résoudre ce problème.
Falsification de requête intersite (CSRF)
Le Cross Site Request Forgery (CSRF) est un type d'attaque qui tire parti d'une faille de sécurité dans le plugin Nested Pages qui permet aux attaquants non authentifiés d'appeler (exécuter) des fichiers PHP, qui sont les fichiers de niveau code de WordPress.
Il y a une validation de nonce manquante ou incorrecte, qui est une fonctionnalité de sécurité courante utilisée dans les plugins WordPress pour sécuriser les formulaires et les URL. Une deuxième faille dans le plugin est une fonctionnalité de sécurité manquante appelée nettoyage. Le nettoyage est une méthode de sécurisation des données d'entrée ou de sortie qui est également courante dans les plugins WordPress mais qui, dans ce cas, est manquante.
Selon Wordfence :
« Cela est dû à une validation nonce manquante ou incorrecte sur la fonction « settingsPage » et à une vérification manquante du paramètre « tab ». »
L'attaque CSRF consiste à faire cliquer un lien sur un utilisateur WordPress connecté (comme un administrateur), ce qui permet à l'attaquant de terminer l'attaque. Cette vulnérabilité est classée 8,8, ce qui en fait une menace de gravité élevée. Pour mettre cela en perspective, un score de 8,9 correspond à une menace de niveau critique, ce qui est un niveau encore plus élevé. Ainsi, à 8,8, elle est juste en deçà d'une menace de niveau critique.
Cette vulnérabilité affecte toutes les versions du plug-in Nested Pages jusqu'à la version 3.2.7 incluse. Les développeurs du plug-in ont publié un correctif de sécurité dans la version 3.2.8 et ont publié de manière responsable les détails de la mise à jour de sécurité dans leur journal des modifications.
Le journal des modifications officiel documente le correctif de sécurité :
« Mise à jour de sécurité concernant le problème CSRF dans les paramètres du plugin »
Lisez l'avis sur Wordfence :
Pages imbriquées <= 3.2.7 – Falsification de requête intersite vers l'inclusion de fichiers locaux
Lisez l'avis du NVD :
CVE-2024-5943 Détails
Image en vedette par Shutterstock/Dean Drobot
