Le plugin WordPress Page Builder de SiteOrigin a été exposé à des failles de sécurité qui ont exposé les sites Web à des attaques d’exécution de code.

Développé par Greg Priday, Générateur de pages de SiteOrigin est un plugin de création de page par glisser-déposer utilisé pour créer du contenu mobile. Le logiciel est activement installé sur plus d’un million de sites Web.

L’équipe de Wordfence Threat Intelligence a découvert les bogues le 4 mai. Les deux points faibles Dans le plug-in, « Autoriser les attaquants à forger des requêtes au nom d’un administrateur de site et à exécuter du code malveillant dans le navigateur de l’administrateur », ont déclaré les chercheurs, même si un administrateur devait cliquer sur un lien ou une pièce jointe malveillant pour déclencher la chaîne de attaques.

Voir également: Meilleur logiciel de chiffrement pour les entreprises en 2020: BitLocker, FileVault, Guardium, etc.

Les problèmes doivent encore recevoir des numéros CVE. Cependant, les deux sont considérés comme critiques.

La première vulnérabilité, un Cross-Site Request Forgery (CSRF) reflétant la vulnérabilité Cross-Site Scripting (XSS), a été trouvée dans la fonctionnalité d’éditeur en direct du plug-in.

L’éditeur en direct est utilisé pour créer et mettre à jour le contenu des articles, et pour faire glisser et déposer des widgets. Les modifications apportées au contenu sont envoyées via un paramètre POST et les fonctions de métadonnées sont vérifiées pour garantir que les utilisateurs sont autorisés à modifier les publications. Cependant, il n’y avait aucune protection nonce.

Par conséquent, certains widgets, y compris le HTML personnalisé, peuvent être utilisés pour injecter du JavaScript malveillant dans une page rendue en direct. Lorsqu’un administrateur accédait à une page d’aperçu en direct conçue avec ce widget compromis, cela entraînait une erreur CSRF / XSS reflétée.

Dans la fonction action_builder_content du plugin, qui est liée à l’action AJAX wp_ajax_so_panels_builder_content, un problème supplémentaire a été trouvé avec la falsification des requêtes de croisement.

La fonction est utilisée pour transférer le contenu soumis par l’éditeur en direct vers l’éditeur WordPress standard afin de mettre à jour ou de publier des articles. Bien que des vérifications d’autorisations aient été mises en place pour s’assurer que les utilisateurs disposaient des autorisations nécessaires pour post_id, ils n’ont pas vérifié l’origine de la demande, ce qui a entraîné un problème de CSRF.

CNET: formation Divi pourrait établir une nouvelle norme pour la surveillance et la confidentialité

Cette vulnérabilité est différente car l’erreur XSS dans le widget Texte a été déclenchée par une entrée de JavaScript, qui n’est pas filtrée lorsque le contenu est modifié en mode texte plutôt qu’en mode visuel.

« Comme avec le CSRF susmentionné, qui reflète la vulnérabilité XSS, il peut finalement être utilisé pour rediriger l’administrateur d’un site, créer un nouveau compte d’utilisateur administrateur ou, comme on l’a vu dans la récente campagne d’attaque de vulnérabilité XSS, introduire une porte dérobée d’un côté », note l’équipe.

Les vulnérabilités ont été signalées au développeur le jour même de leur découverte, le 4 mai. Priday a confirmé le rapport et a préparé un patch et publié dans les 24 heures.

TechRepublic: Kaspersky: 73% des travailleurs n’ont pas reçu de directives de cybersécurité

Wordfence a remercié le développeur « pour une réponse extrêmement rapide et pour la publication très rapide d’un correctif ».

La dernière version du plugin, la version 2.10.16, a résolu les problèmes. Au moment de la rédaction de cet article 66,6% tous les utilisateurs mis à jour leurs versions. Il est recommandé aux utilisateurs de s’assurer qu’ils sont à jour.

Couverture antérieure et connexe


Avez-vous un conseil? Reprenez WhatsApp | contact sécurisé sur signal au +447713025499 ou supérieur à Keybase: charlie0




Source link

Recent Posts