qwanturank

Smash Balloon Social Post Feed, un plugin WordPress. Les chercheurs en sécurité de Jetpack ont ​​découvert la vulnérabilité et ont informé les éditeurs de plugins qui l’ont corrigée et ont publié une version corrigée, la version 4.0.1. Les versions antérieures à celle-ci sont vulnérables.

Flux de publication sociale Smash Balloon

La version gratuite du plugin est conçue pour afficher les publications Facebook d’une manière qui correspond à l’apparence du site sur lequel le contenu Facebook est republié. La version payante  » pro  » republie également des images, des vidéos et des commentaires.

Publicité

Continuer la lecture ci-dessous

Script inter-sites stocké via la mise à jour des paramètres arbitraires

Le projet Open Web Application Security (OWASP) à but non lucratif décrit les vulnérabilités XSS stockées  :

 » Les attaques stockées sont celles où le script injecté est stocké en permanence sur les serveurs cibles, comme dans une base de données….

La victime récupère ensuite le script malveillant du serveur lorsqu’elle demande les informations stockées.

Contrôles Privilège et Nonce manquants

Les chèques Privilège et Nonce manquaient.

Publicité

Continuer la lecture ci-dessous

Cela peut se faire via un formulaire, dans des commentaires, partout où un utilisateur peut saisir des données.

Un plugin WordPress est censé protéger le site en effectuant des vérifications, parmi lesquelles une vérification du niveau de privilège d’un utilisateur (abonné, éditeur, administrateur).

Sans une vérification des privilèges appropriée, un utilisateur au niveau le plus bas, comme un abonné, est capable d’effectuer des actions qui nécessitent normalement les niveaux d’accès les plus élevés, tels que les privilèges de niveau administrateur.

Un nonce est un jeton de sécurité à usage unique destiné à protéger les entrées contre les attaques.

La documentation WordPress Nonce explique la valeur des nonces :

 » Si votre thème permet aux utilisateurs de soumettre des données ; que ce soit dans l’Admin ou le front-end ; nonces peut être utilisé pour vérifier qu’un utilisateur a l’intention d’effectuer une action et contribue à la protection contre la contrefaçon de requêtes intersites (CSRF).

Jetpack a identifié une vulnérabilité dans le plugin Smash Balloon qui n’a pas réussi à effectuer les vérifications de privilèges et de nonce, ce qui a ouvert le site aux attaques.

Jetpack a décrit comment les sites Web exposés à la vulnérabilité  :

« L’action AJAX wp_ajax_cff_save_settings, qui est responsable de la mise à jour des paramètres internes du plugin, n’a effectué aucune vérification de privilège ou de nonce avant de le faire. Cela a permis à tous les utilisateurs connectés d’appeler cette action et de mettre à jour les paramètres du plug-in.

Malheureusement, l’un de ces paramètres, customJS, permet aux administrateurs de stocker du JavaScript personnalisé sur les publications et les pages de leur site. La mise à jour de ce paramètre est tout ce qu’il aurait fallu à un mauvais acteur pour stocker des scripts malveillants sur le site.

Publicité

Continuer la lecture ci-dessous

qui enregistre le contenu de chaque mise à jour de version, note correctement qu’un problème de sécurité a été corrigé.

Non seulement il est responsable de corriger les vulnérabilités en temps opportun, ce que Smash Balloon a fait, mais il est également responsable de le noter dans le journal des modifications, ce que Smash Balloon a également fait.

Le journal des modifications indique  :

 » Correctif  : renforcement de la sécurité amélioré.  »

Action recommandée

Publicité

Continuer la lecture ci-dessous

Jetpack recommande de mettre à jour le flux de publication sociale Smash Balloon vers la dernière version au moment de la rédaction de cet article, à savoir la version 4.0.1. Ne pas le faire peut rendre une installation WordPress dangereuse.

Citations

Avis de sécurité Jetpack

La vulnérabilité du plugin WordPress Facebook Feed expose plus de 200 000 sites Web

S’abonner
Notification pour
guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires