Failles et vulnérabilités de WordPress

iThemes Security 5.3.6 Patch de securité

Blog Failles et vulnérabilités de WordPress iThemes Security 5.3.6 Patch de securité

avril 25, 2016 0 commentaire

Récemment vers le 19 avril 2016, iThemes Security a été patché contre une vulnérabilité découverte par notre équipe, un manque de vérification de capacité, laissant n’importe quel membre avec n’importe quel rôle réaliser une action d’un administrateur.

Quand un fichier est modifié sur votre installation, iThemes Security vous avertira dans votre back-office en utilisant les notices admin.

Dans cette notice vous trouverez un petit bouton pour pouvoir masquer cet avertissement. Normalement seuls les administrateurs peuvent masquer ce message.

Mais la vulnérabilité laisse n’importe qui pouvoir “faussement cliquer” sur ce bouton, cachant alors les modifications aux admins.

Lisez la suite si vous voulez en savoir plus sur où est la faille et comment l’exploiter.

Dans le fichier /core/modules/file-changes/class-itsec-file-change-admin.php vous trouverez la fonction wp_ajax_itsec_file_change_warning_ajax()

	public function wp_ajax_itsec_file_change_warning_ajax() {

		if ( ! wp_verify_nonce( sanitize_text_field( $_POST['nonce'] ), 'itsec_file_change_warning' ) ) {
			die( __( 'Security error!', 'better-wp-security' ) );
		}

		die( delete_site_option( 'itsec_file_change_warning' ) );

	}

Comme vous pouvez le voir, le jeton de sécurité (nonce) est bien vérifié, mais pas le rôle. Oui, habituellement le jeton seul peut suffire à bloquer les tentatives de requêtes ajax. Mais pas si le jeton est connu de tout le monde.

Même fichier, nous pouvons lire ceci :

add_action( 'admin_enqueue_scripts', array( $this, 'admin_enqueue_scripts' ) ); //enqueue scripts for admin page

Une partie de la fonction admin_enqueue_scripts() fait ceci :

		wp_register_script( 'itsec_file_change_warning_js', $this->module_path . 'js/admin-file-change-warning.js', array( 'jquery' ), $itsec_globals['plugin_build'] );
		wp_enqueue_script( 'itsec_file_change_warning_js' );
		wp_localize_script(
			'itsec_file_change_warning_js',
			'itsec_file_change_warning',
			array(
				'nonce' => wp_create_nonce( 'itsec_file_change_warning' ),
				'url'   => admin_url() . 'admin.php?page=toplevel_page_itsec_logs&itsec_log_filter=file_change',
			)
		);

Donc, le jeton est écrit dans le code source du back-office, pour tout le monde, sans restriction.

Un simple abonné peut lire le jeton, faire un appel ajax sur le fichier de WP avec l’action itsec_file_change_warning_ajax et le message d’avertissement de l’administration sera effacée jusqu’à la prochaine modification de fichier.

La solution brought par l’équipe de dev de iThemes Security a été de ne plus imprimer le jeton pour tout le monde ET de vérifier le rôle.

Vous devez toujours vérifier les deux, le jeton et le rôle quand vous faites ce genre de vérification. Aussi, n’imprimez jamais dans une page un jeton si la personne n’en a pas besoin. Enfin, utilisez toujours un nom de jeton différent et correct pour éviter la réplication des actions.

À propos de Julio Potier Tous les articles de Julio Potier

Créateur de SecuPress et de la Formation LearnWPSecurity, Julio est aussi organisateur du WordCamp Lille.
Orateur compulsif, formateur sénior et ingénieur WordPress, il s’est spécialisé dans la sécurité depuis 2002 et contribue à WordPress sous diverses formes.

Ceci pourrait vous intéresser

Les vulnérabilités existent aussi dans les extensions WordPress célèbres

Faille dans WordPress 4.9.6 permettant à un auteur de supprimer un fichier, vidéo mise à jour

WordPress 4.8.3 – Correctifs de sécurité