Une vulnérabilité découverte par l’équipe Wordfence Threat Intelligence dans le plugin WPBakery expose plus de 4 millions de sites. Des vulnérabilités de gravité élevée ont été découvertes dans les plugins Post Grid et Team Showcase.

Le service d’avatar en ligne Gravatar a été exposé à une technique d’énumération des utilisateurs, qui pourrait être utilisée abusivement pour collecter des données sur les profils de ses utilisateurs, et un skimmer de carte a été trouvé sur Boom! Site Web de Mobile, mettant en péril les données de la carte client.

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:12 La vulnérabilité s’expose 4 millions de sites utilisant WPBakery Plugin
1:50 Vulnérabilités de gravité élevée dans Plugins Post Grid et Team Showcase
3:52 Service d’avatar en ligne Gravatar permet la collecte massive d’informations utilisateur
5:37 Boom! Page piratée sur le site Web du téléphone mobile vole les données de la carte des clients

Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 90

Scott Miller:
Bonjour à tous. C’est Scott de Wordfence. Voici Think Like A Hacker, le podcast hebdomadaire sur WordPress, la sécurité et l’innovation. Jetons un coup d’œil aux nouvelles.

Dans notre premier article cette semaine, une vulnérabilité dans WPBakery expose plus de 4 millions de sites. L’équipe Wordfence Threat Intelligence a trouvé ici une vulnérabilité dans le plugin WPBakery le 27 juillet. Ce plugin est installé sur plus de 4,3 millions de sites et la vulnérabilité a permis aux attaquants authentifiés avec des autorisations de niveau contributeur ou supérieures d’injecter du JavaScript malveillant dans les publications. Nous avons initialement contacté l’équipe du plugin le 28 juillet et divulgué tous les détails le 29. Après une longue correspondance entre Wordfence et l’équipe de développement de WPBakery, un correctif suffisant a été publié le 24 septembre.

Maintenant, le plugin WPBakery avait une faille qui permettrait aux utilisateurs avec des rôles de niveau contributeur ou de niveau auteur, la possibilité d’injecter du JavaScript malveillant dans les pages et les articles. La faille donnerait également aux utilisateurs la possibilité de modifier les publications d’autres utilisateurs. Le plugin a désactivé toutes les vérifications de filtrage HTML des publications par défaut, ce qui permettait à tout utilisateur ayant accès à WPBakery Builder, d’injecter du HTML et du JavaScript n’importe où dans une publication à l’aide du générateur de page. Il est recommandé de mettre à jour vers la dernière version 6.4.1 dès que possible. Vous voudrez également jeter un coup d’œil à tout compte d’utilisateur de contributeur ou d’auteur non approuvé sur votre site WordPress.

Les utilisateurs de Wordfence Premium ont été protégés de la vulnérabilité lorsqu’ils ont reçu un nouveau rôle de pare-feu pour la protection le 28 juillet, et les utilisateurs gratuits de Wordfence ont reçu la même protection le 28 août.

Dans notre prochain article de cette semaine, nous examinons les vulnérabilités de haute gravité dans les plugins Post Grid et Team Showcase. Le 14 septembre, notre équipe d’informations sur les menaces ici chez Wordfence a découvert deux vulnérabilités de haute gravité dans le plugin Post Grid, qui compte plus de 60 000 installations. En approfondissant l’un de ces problèmes que nous avons trouvés dans Post Grid, nous avons découvert que des vulnérabilités similaires étaient également présentes dans le plugin Team Showcase, qui est un plugin distinct du même auteur, et qui compte plus de 6000 installations.

Après avoir déclenché des fonctions vulnérables dans les plugins, un attaquant connecté avec un accès au niveau abonné ou supérieur pourrait alors envoyer un paramètre source référençant une charge utile malveillante, et la fonction vulnérable ouvrirait le fichier contenant cette charge utile et créerait éventuellement une nouvelle mise en page basée sur son Contenu. Cette page inclurait alors une section de script personnalisée, qui permettrait à un attaquant d’ajouter du JavaScript malveillant à la partie CSS personnalisée de cette zone. Cela serait alors exécuté chaque fois qu’un utilisateur administratif modifiait cette mise en page ou qu’un visiteur accédait à une page basée sur cette mise en page.

Cette vulnérabilité aurait donc pu être utilisée pour ajouter une porte dérobée au plugin ou aux fichiers de thème, ou potentiellement pour voler des informations de session administrateur. Nous avons contacté PickPlugins, le développeur de ces plugins le 16 septembre, et des correctifs pour les deux plugins ont été mis à disposition peu de temps après le 17. Le 16 septembre, les utilisateurs de Wordfence Premium ont reçu une règle de pare-feu les protégeant de ces vulnérabilités dans les deux plugins. Les sites qui utilisent encore le plugin gratuit Wordfence recevront cette règle après 30 jours le 16 octobre.

Si vous utilisez le plugin Post Grid ou Team Showcase, vous devez mettre à jour la dernière version dès que possible. À l’heure actuelle, la dernière version du plugin post grid est la 2.0.73. Et la dernière version du plugin Team Showcase est la 1.22.16.

Dans notre prochaine histoire, Gravatar, le service d’avatar de profil en ligne permet une collecte facile des informations utilisateur. Ainsi, le service d’avatar en ligne Gravatar, a été exposé à une technique de dénombrement des utilisateurs, qui pourrait être utilisée abusivement pour collecter des données sur les profils de ses utilisateurs. Le chercheur en sécurité Carlo Di Dato a démontré qu’après avoir simplement ajouté .JSON à la page de profil de l’utilisateur Gravatar, un champ ID était alors accessible. En utilisant ce numéro d’identification spécifique à chaque profil Gravatar, l’énumération des utilisateurs était possible avec un simple script, ce que Di Dato a démontré en visitant les URL des ID 1 à 5000, leur donnant accès aux données JSON des 5000 premiers utilisateurs Gravatar.

Certains profils contenaient plus d’informations que d’autres, y compris des informations de localisation, ainsi que des numéros de téléphone et des adresses de portefeuille Bitcoin. Ces informations pourraient bien sûr également être utilisées dans des attaques d’ingénierie sociale. La technique d’énumération simple permettrait à un robot d’exploration ou à un robot de récupérer des informations à volonté à partir de profils Gravatar sans limitation de débit stricte apparemment en place. Comme nous le savons, Gravatar est un service populaire utilisé avec WordPress. Et bien que les utilisateurs avec des profils publics consentent à rendre certaines données accessibles au public, les utilisateurs ne savent probablement pas que leurs données pourraient être récupérées aussi facilement que cela pourrait l’être avec cette méthode de dénombrement des utilisateurs. Vous pourriez envisager de vérifier quelles informations sont disponibles sur votre profil Gravatar et également considérer ce qui doit y être. Vous pouvez également masquer votre profil public via les paramètres des services.

Dans notre dernière histoire de cette semaine, les données de la carte des clients sont en danger en raison d’un skimmer de carte sur Boom! Site Web de Mobile. Donc, si vous avez récemment recherché un nouvel appareil mobile et visité Boom! Sur le site Web de Mobile, vous avez peut-être couru un risque de vol des données de votre carte. Malwarebytes, la firme de sécurité populaire a déclaré que le site Web de Boom! Contient un script malveillant, qui vole les données des cartes de paiement. Le script était actif et extrayait des données des champs de paiement à chaque fois qu’il détectait des changements dans ces champs.

Une chose à noter est que le site, qui s’appelle boom.us, exécute la version 5.6.40 de PHP, qui n’est pas prise en charge par les développeurs PHP depuis 2019, et présente également des problèmes de sécurité connus. Les informations extraites du skimmer sur le site peuvent inclure toutes les informations ajoutées aux formulaires, telles que le nom, l’adresse, le numéro de carte, la date d’expiration et le code de sécurité, ainsi que toute autre information dans le formulaire sur le site. Boom! a publié une déclaration encourageant les clients qui auraient pu effectuer des achats sur boom.us entre le 30 septembre et le 5 octobre à prendre les précautions nécessaires auprès de leur société émettrice de cartes. Malheureusement, ces choses peuvent arriver sur les sites Web et il est toujours préférable de limiter où vous mettez vos données en ligne et d’essayer de vous en tenir à des sites Web réputés.

C’est tout pour nous cette semaine. Merci de m’avoir rejoint sur Think Like A Hacker. Arrêtez-vous le mardi à midi, heure de l’Est, pour Wordfence en direct sur YouTube, où nous parlons de tout ce qui concerne la sécurité. À la prochaine fois, passez un excellent week-end et nous vous surprendrons bientôt.

Suis moi sur Twitter @wfscottmiller. Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur Youtube, où nous avons notre Wordfence Live hebdomadaire les mardis à midi Est, 9h00 du Pacifique.



Source link