L’équipe Wordfence Threat Intelligence a récemment révélé plusieurs vulnérabilités de script intersite réfléchi que nous avons découvertes dans trois plugins différents – Quizz Watu (installé sur 5 000 sites), Editeur GN (installé sur 40 000 sites), et Japonisé pour WooCommerce (installé sur 10 000 sites). Comme pour toutes les vulnérabilités de type Reflected Cross-Site Scripting, celles-ci pourraient être exploitées pour une prise de contrôle complète du site tant qu’un attaquant non authentifié pourrait réussir à inciter un administrateur de site à effectuer une action, comme cliquer sur un lien ou visiter un site Web sous le contrôle de l’attaquant. .

Tous les clients Wordfence, y compris Wordfence Premium, Soins des motset Réponse Wordfence Les clients ainsi que ceux qui utilisent encore la version gratuite de notre plugin, sont protégés contre tout exploit ciblant ces vulnérabilités par la protection intégrée contre les scripts intersites du pare-feu Wordfence.

Résumés des vulnérabilités




Détails de la vulnérabilité

Quizz Watu est un plugin qui offre aux propriétaires de sites la possibilité de créer des examens, des quiz et des sondages. Il permet aux administrateurs d’examiner les soumissions de quiz et de filtrer les résultats de la recherche par nom d’utilisateur, e-mail, date de prise et score du quiz. Malheureusement, les termes de recherche – fournis en tant que paramètres d’URL – n’ont pas été correctement filtrés avant d’être répercutés sur le formulaire de recherche.

La visite d’une URL contenant une charge utile malveillante suffisait à déclencher l’exécution de code JavaScript malveillant dans le contexte de la session de l’utilisateur visiteur. Étant donné que la page exploitable était une page administrative, ce code pouvait être utilisé pour créer de nouveaux utilisateurs administrateurs ou pour effectuer d’autres actions tout aussi graves pouvant entraîner une prise de contrôle du site.

Une ligne de code vulnérable dans le plug-in a utilisé le paramètre fourni par l’utilisateur et l’a généré directement :

<input name="dn" type="text" value="<?php echo @$_GET['dn']?>" />

Le paramètre dn peut être utilisé pour fermer l’attribut value, ajouter un événement onmouseover (ou un événement onfocus combiné avec l’attribut autofocus) et exécuter JavaScript dans le contexte du navigateur de la victime.

/wp-admin/admin.php?page=watu_takings&exam_id=1&dn="%2Fonmouseover%3Dalert(123)%2F%2F

Les versions jusqu’à 3.3.9 de ce plugin sont vulnérables. Le problème est résolu dans la version 3.3.9.1 à compter du 3 mars 2023.


Éditeur GN est un plug-in qui crée des flux RSS conformes aux exigences techniques des flux RSS de Google Actualités, nécessaires pour être inclus dans le Centre des éditeurs de Google Actualités. Le plugin résout certains problèmes de compatibilité RSS courants que les éditeurs rencontrent généralement.

Sur sa page de configuration principale, il propose un formulaire à onglets où les administrateurs peuvent modifier les paramètres spécifiques au plugin. Cependant, le plugin n’échappe pas correctement le nom de l’onglet avant de le sortir.

Le logiciel comporte un bouton dans le coin supérieur droit qui propose une mise à niveau vers la version PRO. Le code du bouton dans la version vulnérable est illustré ci-dessous (légèrement reformaté pour plus de lisibilité) :

Comme on peut le voir, l’élément button contient une instruction php echo qui génère le paramètre tab en tant qu’attribut de classe de bouton. Un attaquant non authentifié peut tirer parti de cela et injecter du JavaScript basé sur des attributs qui s’exécute sur un événement choisi par l’attaquant, tel que onmouseover ou onfocus en combinaison avec l’autofocus, en supposant qu’il peut également réussir à tromper un administrateur de site pour qu’il effectue une action.

/wp-admin/options-general.php?page=gn-publisher-settings&tab=hans%22%2F+onmouseover%3Dalert%281%29%3B%2F%2F

Les versions jusqu’à la 1.5.5 incluse sont vulnérables. La version 1.5.6 a résolu ce problème et a été publiée le 24 février 2023.


Le plugin Japonisé pour WooCommerce ajoute des fonctionnalités supplémentaires à WooCommerce qui le rendent plus convivial pour un public japonais, telles que des titres honorifiques et des options de paiement personnalisées adaptées au marché japonais. De la même manière que les deux autres plugins discutés ci-dessus, Japanized pour WooCommerce génère une entrée utilisateur non nettoyée fournie via le paramètre URL.

Tant qu’un paramètre de tabulation est fourni, il sera généré dans le cadre du JavaScript fourni qui suit. Un morceau de code malveillant peut être utilisé pour fermer la balise de script, en ouvrir une nouvelle et inclure du code à exécuter au nom de l’utilisateur visiteur.

/wp-admin/admin.php?page=wc4jp-options&tab=hans%27%3C%2Fscript%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E

Tout comme les deux autres vulnérabilités décrites ci-dessus, cette vulnérabilité peut être exploitée par des attaquants non authentifiés tant qu’un administrateur d’un site vulnérable peut être amené à effectuer une action telle que cliquer sur un lien le menant au formulaire vulnérable.

Ce problème est corrigé à partir de la version 2.5.6, publiée le 28 février 2023.

Enfin, comme c’est généralement le cas pour les vulnérabilités de type Reflected Cross-Site Scripting, ces attaques peuvent être menées par des utilisateurs non authentifiés. Cependant, l’interaction d’un utilisateur du site est une exigence. De plus, l’injection malveillante ne persiste pas car elle n’est pas stockée dans la base de données.

Conclusion

Dans l’article d’aujourd’hui, nous avons détaillé les failles de trois plugins qui permettaient aux attaquants d’injecter du JavaScript malveillant dans un site vulnérable. Bien que l’exploitation de ces vulnérabilités nécessite un certain degré d’ingénierie sociale, elles pourraient toutes être utilisées pour la prise de contrôle du site.

Tous les utilisateurs de Wordfence, y compris ceux qui exécutent Wordfence Premium, Soins des motset Réponse Wordfenceainsi que les sites exécutant encore la version gratuite de Wordfence, sont entièrement protégés contre cette vulnérabilité.

Si vous pensez que votre site a été compromis en raison de ces vulnérabilités ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via Soins des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse Wordfence offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire.

Si vous avez des amis ou des collègues qui utilisent l’un de ces plugins, veuillez partager cette annonce avec eux et les encourager à mettre à jour la dernière version dès que possible.

Si vous êtes chercheur en sécurité, vous pouvez divulguez-nous vos découvertes de manière responsable et obtenez un ID CVE et obtenez votre nom sur le Classement Wordfence Intelligence.


Source link