La National Vulnerability Database (NVD) du gouvernement des États-Unis a publié un avis sur le plugin WordPress Shortcodes Ultimate, avertissant qu’il a été découvert qu’il contient une vulnérabilité Cross Site Request Forgery.
Shortcodes Ultimate est un plugin WordPress très populaire qui compte plus de 700 000 installations actives.
La vulnérabilité affecte les versions de plug-in antérieures à la version actuelle 5.12.2.
Sommaire
Vulnérabilité de falsification des requêtes intersites
Cross-Site Request Forgery, communément appelé CSRF, est un type de vulnérabilité qui peut, dans le pire des cas, conduire à une prise de contrôle complète du site Web.
Ces types de vulnérabilités sont généralement causés par le ciblage d’une faille dans un logiciel qui peut déclencher un changement, ce qui peut ensuite entraîner des conséquences imprévues.
Une attaque réussie dépend généralement d’un utilisateur, par exemple avec des privilèges administratifs, cliquant sur un lien et révélant involontairement des informations comme un cookie de session qui peut ensuite être utilisé pour se faire passer pour cette personne.
Ce type de vulnérabilité dépend de l’ingénierie sociale, qui manipule un utilisateur final pour effectuer une action qui profite ensuite de la vulnérabilité du plug-in.
Selon le Projet de sécurité des applications Web ouvertes (OWASP):
« CSRF est une attaque qui incite la victime à soumettre une requête malveillante.
Il hérite de l’identité et des privilèges de la victime pour exécuter une fonction indésirable au nom de la victime…
Pour la plupart des sites, les requêtes du navigateur incluent automatiquement toutes les informations d’identification associées au site, telles que le cookie de session de l’utilisateur, l’adresse IP, les informations d’identification du domaine Windows, etc.
Par conséquent, si l’utilisateur est actuellement authentifié sur le site, le site n’aura aucun moyen de faire la distinction entre la demande falsifiée envoyée par la victime et une demande légitime envoyée par la victime.
Base de données nationale sur les vulnérabilités (NVD)
La base de données nationale sur les vulnérabilités n’a publié que quelques détails sur la vulnérabilité. Il n’existe actuellement aucune ventilation complète de la vulnérabilité elle-même.
L’avis NVD a publié ce qui suit:
« La vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plug-in Shortcodes Ultimate <= 5.12.0 sur WordPress entraîne une modification des paramètres prédéfinis du plug-in."
L’officiel Shortcodes Ultimate GitHub changelog était tout aussi vague, décrivant la mise à jour pour corriger la vulnérabilité :
« ### 5.12.1
**Autorisation de sécurité**
Cette mise à jour corrige une vulnérabilité de sécurité dans le générateur de shortcode. Merci à Dave John de l’avoir découvert.
Pendant ce temps, le référentiel de plugins WordPress journal des modifications expliquers :
« Problème résolu avec les préréglages du générateur de shortcode, introduit dans la mise à jour précédente »
Le journal des modifications ci-dessus semble mal orthographié le nom du chercheur en sécurité, qui est correctement orthographié Dave Jon, CTO de Patchstackla personne à qui l’on attribue la découverte et le signalement de la vulnérabilité.
Plan d’action recommandé
Les éditeurs WordPress qui utilisent actuellement le plugin Shortcodes devraient envisager de mettre à jour vers la toute dernière version, qui au moment de la rédaction est actuellement la version 5.12.2.
Citations
Lire l’avis sur la base de données nationale sur les vulnérabilités
Lire l’annonce Patchstack
Plugin WordPress Shortcodes Ultimate <= 5.12.0 – Vulnérabilité CSRF (Cross-Site Request Forgery)
Image sélectionnée par Shutterstock/Cookie Studio