Le plugin WordPress Accelerated Mobile Pages, avec plus de 100 000 installations, a corrigé une vulnérabilité de gravité moyenne qui pourrait permettre à un attaquant d’injecter des scripts malveillants à exécuter par les visiteurs du site Web.
Scripts intersites via shortcode
Le cross-site scripting (XSS) est l’un des types de vulnérabilité les plus fréquents. Dans le contexte des plugins WordPress, les vulnérabilités XSS se produisent lorsqu’un plugin dispose d’un moyen de saisir des données qui n’est pas suffisamment sécurisé par un processus qui valide ou nettoie les entrées des utilisateurs.
La désinfection est un moyen de bloquer les types d’entrées indésirables. Par exemple, si un plugin permet à un utilisateur d’ajouter du texte via un champ de saisie, il doit également nettoyer tout ce qui est saisi dans ce formulaire et qui n’y appartient pas, comme un script ou un fichier zip.
Un shortcode est une fonctionnalité WordPress qui permet aux utilisateurs d’insérer une balise qui ressemble à ceci [example] dans les articles et les pages. Les shortcodes intègrent des fonctionnalités ou du contenu fourni par un plugin. Cela permet aux utilisateurs de configurer un plugin via un panneau d’administration, puis de copier et coller un shortcode dans une publication ou une page où ils souhaitent que la fonctionnalité du plugin apparaisse.
Une vulnérabilité « cross-site scripting via shortcode » est une faille de sécurité qui permet à un attaquant d’injecter des scripts malveillants dans un site Web en exploitant la fonction shortcode du plugin.
Selon un rapport récemment publié par la société de sécurité Patchstack WordPress :
« Cela pourrait permettre à un acteur malveillant d’injecter des scripts malveillants, tels que des redirections, des publicités et d’autres charges utiles HTML dans votre site Web, qui seront exécutés lorsque les invités visiteront votre site.
Cette vulnérabilité a été corrigée dans la version 1.0.89.
Wordfence décrit la vulnérabilité :
« Le plugin Accelerated Mobile Pages pour WordPress est vulnérable aux scripts intersites stockés via le(s) shortcode(s) du plugin dans toutes les versions jusqu’à la 1.0.88.1 incluse en raison d’une vérification insuffisante des entrées et d’un échappement de sortie sur les attributs fournis par l’utilisateur. »
Wordfence précise également qu’il s’agit d’une vulnérabilité authentifiée, ce qui, pour cet exploit spécifique, signifie qu’un pirate informatique a besoin d’au moins un niveau d’autorisation de contributeur afin de profiter de la vulnérabilité.
Cet exploit est classé par Patchstack comme une vulnérabilité de niveau de gravité moyen, avec une note de 6,5 sur une échelle de 1 à 10 (dix étant le plus grave).
Il est conseillé aux utilisateurs de vérifier leurs installations afin qu’elles soient mises à jour au moins vers la version 1.0.89.
Lisez le rapport Patchstack ici :
Le plugin WordPress Accelerated Mobile Pages <= 1.0.88.1 est vulnérable au Cross Site Scripting (XSS)
Lisez l’annonce de Wordfence ici :
Pages mobiles accélérées <= 1.0.88.1 – Scripts intersites stockés authentifiés (Contributeur+) via un shortcode
Image en vedette par Shutterstock/pedrorsfernandes