Jetpack 4.0.3 Patch de Sécurité

Jetpack 4.0.3 corrige une faille de sécurité critique nommée Stored XSS. Elle permet à un utilisateur d’insérer un shortcode contenant des attributs HTML normalement interdits.

La vulnérabilité

Selon Sam Hotchkiss, membre de l’équipe de développement Jetpack, cette vulnérabilité XSS se trouve dans le fonctionnement des shortcodes que ce plugin ajoute. Un attaquant peut facilement ajouter du code JavaScript dans les commentaires pour pirater le navigateur du visiteur.

La vulnérabilité a bien sûr été corrigée, notez cependant que toutes les versions entre Jetpack 2.0 datant de novembre 2012 et inférieure à 4.0.3 sont touchée !

Il n’y a aujourd’hui aucun moyen de savoir si des sites ont déjà été victimes de cette faille, mais ce n’est qu’une question de temps maintenant que c’est divulgué.

La technique

Si la technique vous intéresse, voici le code qui crée cette faille (sans les commentaires de code) :

function vimeo_link( $content ) {
	$shortcode = "(?:\[vimeo\s+[^0-9]*)([0-9]+)(?:\])";

	$plain_url = "(?:[^'\">]?\/?(?:https?:\/\/)?vimeo\.com[^0-9]+)([0-9]+)(?:[^'\"0-9<]|$)";

	return preg_replace_callback(
			sprintf( '#%s|%s#i', $shortcode, $plain_url ),
			'vimeo_link_callback',
		$content
	);
}

Le correctif a ajouté une nouvelle fonction de callback qui filtre maintenant correctement, et jusqu’à preuve du contraire, les tags HTML qui ont permis cette faille.

Tenez vous à jour le plus vite possible.

À propos de Julio Potier Tous les articles de Julio Potier

Créateur de SecuPress et de la Formation LearnWPSecurity, Julio est aussi organisateur du WordCamp Lille.
Orateur compulsif, formateur sénior et ingénieur WordPress, il s’est spécialisé dans la sécurité depuis 2002 et contribue à WordPress sous diverses formes.