La version 5.4.1 de WordPress Core vient de sortir. Étant donné que cette version est marquée comme une mise à jour combinée de sécurité et de correction de bogues, nous vous recommandons de la mettre à jour dès que possible. Cela dit, la plupart des correctifs de sécurité eux-mêmes concernent des vulnérabilités qui semblent nécessiter des circonstances spécifiques pour être exploitées.

Dans l’ensemble, cette version contient 7 correctifs de sécurité, dont 5 sont des vulnérabilités XSS (Cross-Site Scripting). Le libre et Prime les versions de Wordence ont une protection XSS intégrée robuste qui protégera contre l’exploitation potentielle de ces vulnérabilités.

Une ventilation de chaque problème de sécurité

Les jetons de réinitialisation de mot de passe n’ont pas pu être correctement invalidés

Si une réinitialisation du mot de passe a été demandée pour un utilisateur, mais qu’il s’est ensuite connecté et a mis à jour manuellement son mot de passe sur la page de profil, le lien de réinitialisation du mot de passe envoyé par e-mail peut toujours être utilisé. Auparavant, le lien de réinitialisation du mot de passe n’était invalidé que si l’utilisateur changeait son adresse e-mail. Il n’y a pas beaucoup de circonstances dans lesquelles ce type de problème pourrait être problématique à moins qu’un attaquant n’ait déjà accès au compte de messagerie d’une victime, ce qui serait effectivement le pire des cas. Le changement de code (diff) en question est:

https://core.trac.wordpress.org/changeset/47634/

Cette vulnérabilité a été découverte et signalée indépendamment par les deux Muaz Bin Abdus Sattar et Jannes.

Certains messages privés peuvent être consultés par des utilisateurs non authentifiés

Cet ensemble de modifications comportait le commentaire suivant: «Requête: assurez-vous qu’un seul message peut être renvoyé pour les requêtes basées sur la date et l’heure.»

Cela indique qu’il était possible pour un attaquant d’afficher les publications privées en utilisant des requêtes basées sur la date et l’heure, mais uniquement pour les publications protégées qui ont été créées ou mises à jour en même temps, jusqu’à la seconde, en tant que publication non protégée. Le diff en question est:

https://core.trac.wordpress.org/changeset/47635/

Cela a été découvert par ka1n4t et semble similaire à CVE-2019-17671, où plusieurs messages sont renvoyés à partir d’une requête, et seul le premier message est vérifié pour s’assurer qu’il doit être visible publiquement.

Deux problèmes XSS dans le personnalisateur

Ces vulnérabilités semblent permettre la corruption du contenu des publications par divers utilisateurs et pourraient permettre l’ajout de javascript malveillant par un attaquant authentifié disposant de capacités de contributeur. Un utilisateur ayant la possibilité d’écrire des articles (comme un contributeur ou un auteur) sans le unfiltered_html et un administrateur ou un éditeur pourraient corrompre les données des brouillons respectifs, ajoutant potentiellement du JavaScript malveillant à un aperçu ou à la version finale d’un article. Le diff en question est:

https://core.trac.wordpress.org/changeset/47633/

Ces vulnérabilités ont été découvertes et signalées par Evan Ricafort et Weston Ruter.

Un problème XSS dans le bloc de recherche

Cela semble en fait se référer à deux vulnérabilités distinctes avec le même mécanisme dans le bloc RSS et le bloc de recherche. Un attaquant ayant la possibilité de personnaliser la classe de l’un de ces blocs (tel qu’un contributeur) pourrait potentiellement définir la classe de bloc de telle manière qu’un JavaScript malveillant serait exécuté lors de la visualisation ou de la prévisualisation de la publication. Le diff en question est:

https://core.trac.wordpress.org/changeset/47636/

Cette vulnérabilité a été découverte et signalée par Ben Bidner de l’équipe de sécurité WordPress.

Un problème XSS dans wp-object-cache

Le cache d’objets est utilisé pour enregistrer les trajets dans la base de données en mettant en cache le contenu de la base de données et en rendant le contenu du cache disponible à l’aide d’une clé, qui est utilisée pour nommer, puis récupérer le contenu du cache.

Dans quelques cas extrêmes, un attaquant ayant la possibilité de modifier les clés de cache d’objets pourrait être en mesure de définir l’une de ces clés de cache sur JavaScript malveillant. Par défaut, WordPress n’affiche pas ces statistiques et ne permet pas aux utilisateurs de manipuler directement les clés de cache.

Il est possible qu’un plugin ou une combinaison de plugins mal programmés puisse permettre à un attaquant de manipuler une clé de cache et que la valeur non échappée soit affichée pour un administrateur qui visualise ces statistiques via un plugin ou un code personnalisé conçu pour les afficher. Le diff en question est:

https://core.trac.wordpress.org/changeset/47637/

Cette vulnérabilité a été découverte par Nick Daugherty de WordPress VIP / Équipe de sécurité WordPress.

Un problème XSS dans les téléchargements de fichiers

Cette vulnérabilité particulière pourrait permettre à un utilisateur disposant de la capacité «upload_files» (auteurs et versions supérieures dans une installation par défaut) de télécharger un fichier avec le nom de fichier défini sur JavaScript malveillant, qui pourrait être exécuté lors de la visualisation du fichier dans la galerie multimédia. Le diff en question est:

https://core.trac.wordpress.org/changeset/47638/

Cette vulnérabilité a été découverte et signalée de manière indépendante par Ronnie Goodrich (Kahoots) et Jason Medeiros.

Un problème XSS authentifié dans l’éditeur de blocs

Cette vulnérabilité existait dans quelques-uns des candidats à la sortie et ne semble pas avoir été présente dans une version officielle. Il a été découvert par Nguyen le Duc dans WordPress 5.4 RC1 et RC2, et il a été corrigé dans 5.4 RC5.

Que devrais-je faire?

Bien que la plupart de ces vulnérabilités ne semblent être exploitables que dans des circonstances limitées ou par des utilisateurs de confiance, les chercheurs qui ont découvert ces vulnérabilités peuvent publier le code Proof of Concept pour elles. Avec plus de temps, les attaquants pourraient trouver que l’exploitation de ces vulnérabilités est beaucoup plus facile que ce qui est évident à l’heure actuelle. Comme toujours, nous vous recommandons de mettre à jour le plus tôt possible.

Il s’agit d’une version mineure de WordPress, ce qui signifie que la plupart des sites seront automatiquement mis à jour. Si votre site voit beaucoup de trafic, vous souhaiterez peut-être effectuer des tests dans un environnement intermédiaire avant de mettre à jour la version de production de votre site.

Conclusion

Nous remercions l’équipe principale de WordPress et les chercheurs qui ont découvert et signalé ces vulnérabilités pour avoir rendu WordPress plus sûr pour tout le monde.

Vous pouvez trouver le annonce officielle de la sortie de WP 5.4.1 sur cette page. Si vous avez des questions ou des commentaires, n’hésitez pas à les publier ci-dessous et nous ferons de notre mieux pour y répondre dans les meilleurs délais. Si vous êtes l’un des chercheurs dont les travaux sont inclus ci-dessus et que vous souhaitez fournir des détails ou des corrections supplémentaires, nous apprécions vos commentaires.


Source link