Un plugin anti-malware WordPress populaire a été découvert pour avoir une vulnérabilité de script intersite reflétée. Il s’agit d’un type de vulnérabilité qui peut permettre à un attaquant de compromettre un utilisateur de niveau administrateur du site Web affecté.
Sommaire
Plugin WordPress affecté
Le plugin découvert pour contenir la vulnérabilité est Anti-Malware Security et Brute-Force Firewall, qui est utilisé par plus de 200 000 sites Web.
Anti-Malware Security et Brute-Force Firewall est un plugin qui défend un site Web en tant que pare-feu (pour bloquer les menaces entrantes) et en tant que scanner de sécurité, pour vérifier les menaces de sécurité sous la forme de piratages de porte dérobée et d’injections de bases de données.
Une version premium défend les sites Web contre les attaques par force brute qui tentent de deviner le mot de passe et les noms d’utilisateur et protège contre les attaques DDoS.
Vulnérabilité de script intersite reflétée
Ce plugin s’est avéré contenir une vulnérabilité qui permettait à un attaquant de lancer une attaque de type Reflected Cross-Site Scripting (XSS réfléchi).
Une vulnérabilité de script intersite reflétée dans ce contexte est celle dans laquelle un site Web WordPress ne limite pas correctement ce qui peut être entré dans le site.
Le fait de ne pas restreindre (désinfecter) ce qui est téléchargé revient essentiellement à laisser la porte d’entrée du site Web déverrouillée et à permettre le téléchargement de pratiquement tout.
Un pirate profite de cette vulnérabilité en téléchargeant un script et en faisant en sorte que le site Web le reflète.
Lorsqu’une personne disposant d’autorisations de niveau administrateur visite une URL compromise créée par l’attaquant, le script est activé avec les autorisations de niveau administrateur stockées dans le navigateur de la victime.
Le rapport WPScan sur la sécurité anti-malware et le pare-feu Brute-Force décrit la vulnérabilité :
« Le plugin ne nettoie pas et n’échappe pas à QUERY_STRING avant de le renvoyer dans une page d’administration, ce qui conduit à un script intersite réfléchi dans les navigateurs qui n’encodent pas les caractères »
La base de données nationale des vulnérabilités du gouvernement des États-Unis n’a pas encore attribué à cette vulnérabilité un score de niveau de gravité.
La vulnérabilité de ce plugin est appelée une vulnérabilité XSS réfléchie.
Il existe d’autres types de vulnérabilités XSS, mais il s’agit de trois types principaux :
- Vulnérabilité de script intersite stocké (XSS stocké)
- Script intersite aveugle (XSS aveugle)
- XSS réfléchi
Dans une vulnérabilité XSS stockée et une vulnérabilité XSS aveugle, le script malveillant est stocké sur le site Web lui-même. Ceux-ci sont généralement considérés comme une menace plus élevée car il est plus facile d’obtenir qu’un utilisateur de niveau administrateur déclenche le script. Mais ce ne sont pas ceux qui ont été découverts dans le plugin.
Dans un XSS reflété, qui a été découvert dans le plugin, une personne avec des informations d’identification de niveau administrateur doit être amenée à cliquer sur un lien (par exemple à partir d’un e-mail) qui reflète ensuite la charge utile malveillante du site Web.
L’Open Web Application Security Project (OWASP) à but non lucratif décrit un XSS réfléchi comme celui-ci:
« Les attaques réfléchies sont celles où le script injecté est réfléchi sur le serveur Web, comme dans un message d’erreur, un résultat de recherche ou toute autre réponse qui inclut tout ou partie des entrées envoyées au serveur dans le cadre de la requête.
Les attaques réfléchies sont transmises aux victimes via une autre voie, comme dans un message électronique ou sur un autre site Web.
Mise à jour vers la version 4.20.96 recommandée
Il est généralement recommandé d’avoir une sauvegarde de vos fichiers WordPress avant de mettre à jour un plugin ou un thème.
La version 4.20.96 du plugin WordPress Anti-Malware Security and Brute-Force Firewall contient un correctif pour la vulnérabilité.
Il est recommandé aux utilisateurs du plugin d’envisager de mettre à jour leur plugin vers la version 4.20.96.