Smash Balloon Social Post Feed, un plugin WordPress, a été découvert pour avoir une vulnérabilité qui exposait les sites Web à permettre à un attaquant de télécharger des scripts malveillants. Les chercheurs en sécurité de Jetpack ont découvert la vulnérabilité et ont informé les éditeurs de plugins qui l’ont corrigée et ont publié une version corrigée, la version 4.0.1. Les versions antérieures à celle-ci sont vulnérables.
Flux de publication sociale Smash Balloon
Le plugin WordPress Smash Balloon Social Post Feed prend les flux Facebook et les transforme en publications sur un site WordPress.
La version gratuite du plugin est conçue pour afficher les publications Facebook d’une manière qui correspond à l’apparence du site sur lequel le contenu Facebook est republié. La version payante « pro » republie également des images, des vidéos et des commentaires.
Publicité
Continuer la lecture ci-dessous
Script inter-sites stocké via la mise à jour des paramètres arbitraires
Un exploit Stored Cross-Site Scripting (Stored XSS) est une forme de vulnérabilité de cross-site scripting qui permet à un attaquant malveillant de télécharger et de stocker de manière permanente des scripts nuisibles sur le serveur lui-même.
Le projet Open Web Application Security (OWASP) à but non lucratif décrit les vulnérabilités XSS stockées :
« Les attaques stockées sont celles où le script injecté est stocké en permanence sur les serveurs cibles, comme dans une base de données….
La victime récupère ensuite le script malveillant du serveur lorsqu’elle demande les informations stockées.
Contrôles Privilège et Nonce manquants
L’avertissement de sécurité publié par Jetpack a annoncé que le plugin WordPress Smash Balloon Social Post Feed présentait deux problèmes de sécurité qui en faisaient un problème de sécurité. Les chèques Privilège et Nonce manquaient.
Publicité
Continuer la lecture ci-dessous
Les attaques XSS peuvent généralement se produire partout où il existe un moyen de télécharger ou d’entrer quelque chose sur un site WordPress. Cela peut se faire via un formulaire, dans des commentaires, partout où un utilisateur peut saisir des données.
Un plugin WordPress est censé protéger le site en effectuant des vérifications, parmi lesquelles une vérification du niveau de privilège d’un utilisateur (abonné, éditeur, administrateur).
Sans une vérification des privilèges appropriée, un utilisateur au niveau le plus bas, comme un abonné, est capable d’effectuer des actions qui nécessitent normalement les niveaux d’accès les plus élevés, tels que les privilèges de niveau administrateur.
Un nonce est un jeton de sécurité à usage unique destiné à protéger les entrées contre les attaques.
La documentation WordPress Nonce explique la valeur des nonces :
« Si votre thème permet aux utilisateurs de soumettre des données ; que ce soit dans l’Admin ou le front-end ; nonces peut être utilisé pour vérifier qu’un utilisateur a l’intention d’effectuer une action et contribue à la protection contre la contrefaçon de requêtes intersites (CSRF).
Un exemple est un site WordPress dans lequel les utilisateurs autorisés sont autorisés à télécharger des vidéos.
Jetpack a identifié une vulnérabilité dans le plugin Smash Balloon qui n’a pas réussi à effectuer les vérifications de privilèges et de nonce, ce qui a ouvert le site aux attaques.
Jetpack a décrit comment les sites Web exposés à la vulnérabilité :
« L’action AJAX wp_ajax_cff_save_settings, qui est responsable de la mise à jour des paramètres internes du plugin, n’a effectué aucune vérification de privilège ou de nonce avant de le faire. Cela a permis à tous les utilisateurs connectés d’appeler cette action et de mettre à jour les paramètres du plug-in.
Malheureusement, l’un de ces paramètres, customJS, permet aux administrateurs de stocker du JavaScript personnalisé sur les publications et les pages de leur site. La mise à jour de ce paramètre est tout ce qu’il aurait fallu à un mauvais acteur pour stocker des scripts malveillants sur le site.
Publicité
Continuer la lecture ci-dessous
Le journal des modifications du plugin WordPress Smash Balloon Social Post Feed, qui enregistre le contenu de chaque mise à jour de version, note correctement qu’un problème de sécurité a été corrigé.
Non seulement il est responsable de corriger les vulnérabilités en temps opportun, ce que Smash Balloon a fait, mais il est également responsable de le noter dans le journal des modifications, ce que Smash Balloon a également fait.
Le journal des modifications indique :
« Correctif : renforcement de la sécurité amélioré. »
Capture d’écran de Smash Balloon Social Post Feed Changelog
Action recommandée
Smash Balloon Social Post Feed a récemment été corrigé pour corriger l’attaque XSS stockée qui permet le téléchargement de scripts malveillants.
Publicité
Continuer la lecture ci-dessous
Jetpack recommande de mettre à jour le flux de publication sociale Smash Balloon vers la dernière version au moment de la rédaction de cet article, à savoir la version 4.0.1. Ne pas le faire peut rendre une installation WordPress dangereuse.
Citations
Avis de sécurité Jetpack
Problèmes de sécurité corrigés dans le plugin Smash Balloon Social Post Feed