Failles et vulnérabilités de WordPress

Jetpack 4.0.3 Patch de Sécurité

Blog Failles et vulnérabilités de WordPress Jetpack 4.0.3 Patch de Sécurité
0 commentaire

Jetpack 4.0.3 corrige une faille de sécurité critique nommée Stored XSS. Elle permet à un utilisateur d’insérer un shortcode contenant des attributs HTML normalement interdits.

La vulnérabilité

Selon Sam Hotchkiss, membre de l’équipe de développement Jetpack, cette vulnérabilité XSS se trouve dans le fonctionnement des shortcodes que ce plugin ajoute. Un attaquant peut facilement ajouter du code JavaScript dans les commentaires pour pirater le navigateur du visiteur.

La vulnérabilité a bien sûr été corrigée, notez cependant que toutes les versions entre Jetpack 2.0 datant de novembre 2012 et inférieure à 4.0.3 sont touchée !

Il n’y a aujourd’hui aucun moyen de savoir si des sites ont déjà été victimes de cette faille, mais ce n’est qu’une question de temps maintenant que c’est divulgué.

La technique

Si la technique vous intéresse, voici le code qui crée cette faille (sans les commentaires de code) :

function vimeo_link( $content ) {
	$shortcode = "(?:\[vimeo\s+[^0-9]*)([0-9]+)(?:\])";

	$plain_url = "(?:[^'\">]?\/?(?:https?:\/\/)?vimeo\.com[^0-9]+)([0-9]+)(?:[^'\"0-9<]|$)";

	return preg_replace_callback(
			sprintf( '#%s|%s#i', $shortcode, $plain_url ),
			'vimeo_link_callback',
		$content
	);
}

Le correctif a ajouté une nouvelle fonction de callback qui filtre maintenant correctement, et jusqu’à preuve du contraire, les tags HTML qui ont permis cette faille.

Tenez vous à jour le plus vite possible.

0 commentaire