Les chercheurs ont découvert une faille de sécurité dans le constructeur de pages de WP Bakery qui permet à un attaquant d’insérer du JavaScript malveillant dans les pages et les articles. La vulnérabilité pourrait permettre à un attaquant d’injecter du code dans des pages et des articles qui pourraient alors attaquer les navigateurs des visiteurs du site Web.

Vulnérabilité XSS (Authenticated Stored Cross-Site Scripting)

Les vulnérabilités de scripts intersites sont caractérisées par le fait qu’un attaquant peut utiliser des scripts malveillants qui ont été secrètement placés sur un site Web pour cibler les navigateurs des visiteurs.

La publicité

Lisez ci-dessous

Les attaques XSS sont l’une des vulnérabilités de sécurité les plus courantes.

Cette attaque particulière est connue sous le nom de vulnérabilité de script stocké intersite authentifié. Une vulnérabilité XSS enregistrée est une vulnérabilité qui pourrait être utilisée par un attaquant pour créer un script sur un site Web sur le site Web lui-même.

Cependant, il s’agit d’une vulnérabilité dans Authenticated Stored XSS. Cela signifie que l’attaquant doit disposer des informations d’identification du site Web pour mener à bien l’attaque.

Cela en fait moins un risque critique car un attaquant devrait franchir l’étape supplémentaire consistant à obtenir des informations d’identification.

Lié: Comment la sécurité du site Web affecte-t-elle votre référencement?

Vulnérabilité XSS stockée authentifiée par WP Bakery

Cette vulnérabilité spécifique dans WP Bakery nécessite que l’attaquant obtienne des informations d’identification au niveau de la publication ou de l’auteur pour publier sur un site Web.

La publicité

Lisez ci-dessous

Une fois qu’un attaquant a les informations d’identification, il peut insérer des scripts dans n’importe quel article ou page. De plus, l’attaquant pourrait modifier les publications faites par d’autres utilisateurs.

Cette vulnérabilité consistait en plusieurs bogues.

Les bogues permettaient d’insérer du HTML et du JavaScript dans les articles ou les pages des utilisateurs avec des informations d’identification, ainsi que dans les articles d’autres auteurs. Il y avait également un autre bouton de ciblage de bogue spécifique auquel était attachée une fonctionnalité JavaScript.

Selon WordFence:

«Le plugin avait également une fonctionnalité personnalisée au clic pour les boutons. Cela permettait à un attaquant d’insérer du JavaScript malveillant dans un bouton qui serait exécuté en un clic. En outre, les utilisateurs de niveau contributeur et auteur peuvent utiliser les boutons vc_raw_js, vc_raw_html et bouton pour ajouter du JavaScript malveillant aux publications à l’aide de codes abrégés custom_onclick. « 

WP Bakery Page Builder 6.4 et versions antérieures sont concernés

La vulnérabilité a été découverte fin juillet 2020. WP Bakery a publié un correctif fin août, mais d’autres problèmes subsistaient, notamment un deuxième correctif publié début septembre.

Le dernier correctif qui a fermé la vulnérabilité a été publié le 24 septembre 2020.

Les développeurs de plug-ins publient un journal des modifications. Le contenu du journal des modifications est affiché dans la zone du plugin d’administration WordPress, qui vous indique en quoi consiste une mise à jour.

Malheureusement, le journal des modifications de WP Bakery ne reflète pas l’urgence de la mise à jour car il n’indique pas spécifiquement qu’il corrigera une vulnérabilité. Le journal des modifications fait référence aux correctifs de vulnérabilité en tant qu’améliorations.

La publicité

Lisez ci-dessous

Capture d’écran du journal des modifications de WP Bakery Page Builder

Capture d'écran du journal des modifications de WP Bakery Page Builder

Le plugin WP Bakery Page Builder est souvent inclus dans les thèmes. Les éditeurs doivent vérifier leurs plugins et s’assurer qu’il s’agit de la version 6.4.1 la plus récente et la plus sécurisée.

La publicité

Lisez ci-dessous

Devis

La vulnérabilité a exposé plus de 4 millions de sites Web utilisant WPBakery

Journal des modifications WP Bakery Page Builder
https://kb.wpbakery.com/docs/preface/release-notes/





Source link

Recent Posts