Failles et vulnérabilités du Web

Vous le savez, je passe mon temps à décortiquer des failles, qu’elles soient simples ou qu’elles nécessitent d’être un peu tordu pour faire du mal. Ici on va parler d’une attaque sournoise, une simple mauvaise écriture de code. Accrochez-vous, car on va parler du ReDoS, la bête noire des expressions régulières (Regex) pour les développeurs.

Timothée Allemmoz a indiqué sur le Slack de la communauté WordPress France que l’extension Widget Logic semblait avoir été détourné. Voyons ça ensemble. (TL;DR C’est infecté mais je vous donne la soluce pour le garder !)

Au détour de mes recherches dans des extensions gratuites, ou lors des audits de code commandés par des clients, je trouve de temps en temps des choses si simples à corriger et pourtant si dévastatrices que j’avais envie de vous en montrer une, une belle.

iThemes Security est une extension bien connue dans la communauté WordPress depuis des années. Il y a 2 semaines, j’ai découvert une faille de sécurité dans leur module « Hide Backend », divulguant la page de connexion. Cette vulnérabilité ByPass a été corrigée en 7.9.1, tenez vous à jour si vous l’utilisez.

Cet article est une réponse à celui de Yoast sur https://yoast.com/wordpress-security/ (anglais). Yoast est une entreprise SEO dans l’écosystème WordPress depuis 10 ans maintenant. Ce sont des pros sans aucun doute, mais pour des sujets SEO et pas pour la sécurité. Après ma lecture sur cet article en particulier, je me devais d’y faire une […]