Le 13 août 2021, l’équipe de Wordfence Threat Intelligence a divulgué de manière responsable deux vulnérabilités dans Pages imbriquées, un plugin WordPress installé sur plus de 80 000 sites qui fournit une fonctionnalité de glisser-déposer pour gérer la structure de votre page et publier la commande.
Ces vulnérabilités comprenaient une vulnérabilité de falsification des demandes intersites qui permettait de supprimer, de dépublier ou d’attribuer en masse des articles et des pages à un autre auteur, ainsi qu’une vulnérabilité de redirection ouverte distincte.
L’auteur du plugin a immédiatement répondu à notre divulgation et a publié une version corrigée du plugin, la version 3.1.16, quelques heures plus tard.
En raison de la nature des vulnérabilités de falsification des demandes intersites, qui impliquent d’inciter les administrateurs à effectuer des actions qu’ils sont autorisés à effectuer, il n’est pas possible de fournir une protection contre ces vulnérabilités sans bloquer les demandes légitimes. En tant que tel, il est vivement recommandé pour mettre à jour vers la dernière version corrigée des pages imbriquées pour vous assurer que votre site est protégé contre les exploits ciblant ces vulnérabilités.
Plugin concerné : Pages imbriquées
Plugin Slug : wp-pages-imbriqués
Versions concernées :
Identifiant CVE : CVE-2021-38342
Note CVSS : 8.1 (Élevé)
Vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H
Des chercheurs: Ramuel Gall
Version entièrement corrigée : 3.1.16
Le plugin Nested Pages permet aux propriétaires de sites de gérer la structure des pages via la fonctionnalité de glisser-déposer. Il permet également aux propriétaires d’effectuer des actions sur plusieurs pages en même temps, y compris la suppression de pages en bloc et la modification des métadonnées de la page, y compris l’auteur de la page et le statut de publication.
Le plugin a accompli cela via une paire de admin_post Actions: npBulkActions et npBulkEdit. Alors que la plupart des actions du plugin incluaient une protection CSRF, celles-ci ne l’étaient pas. Les npBulkActions L’action peut être utilisée pour supprimer ou supprimer définitivement n’importe quelle page du site. Alors qu’il ne ferait que supprimer les messages fournis dans le post_ids POST paramètre, tous les identifiants de publication qui lui ont été transmis via le redirect_post_ids POST paramètre, destiné à supprimer les liens, serait entièrement supprimé.
Le résultat final était qu’un attaquant pouvait tromper un administrateur en lui envoyant une demande qui pouvait réaffecter des pages à un autre auteur, les publier ou les dépublier, ou même purger de façon permanente chaque article et chaque page d’un site à la fois.
Plugin concerné : Pages imbriquées
Plugin Slug : wp-pages-imbriqués
Versions concernées :
Identifiant CVE : CVE-2021-38343
Note CVSS : 4.7 (Moyen)
Vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N
Des chercheurs: Ramuel Gall
Version entièrement corrigée : 3.1.16
En plus d’être utilisables pour modifier les pages d’un site, les fonctions appelées par le npBulkActions et npBulkEdit actions ont également redirigé les utilisateurs vers l’emplacement fourni dans le page POST paramètre après avoir terminé leurs modifications.
Dans de nombreux cas, les redirections ouvertes peuvent être utilisées pour amener les visiteurs à saisir des informations d’identification sur un site de phishing en semblant être un lien vers un site de confiance, puis en les redirigeant vers un site malveillant sous le contrôle d’un attaquant. Dans ce cas, la redirection ouverte pourrait également servir un objectif secondaire. Avec la plupart des attaques CSRF, la victime atterrit sur la page utilisée pour apporter les modifications qu’elle a été amenée à faire, ce qui pourrait l’indiquer que quelque chose s’est mal passé, surtout si les modifications sont visibles sur la page. La possibilité d’enchaîner une redirection ouverte vers l’attaque CSRF permet à un attaquant d’exploiter plus facilement l’attaque CSRF et de rediriger la victime vers une autre page sans éveiller immédiatement les soupçons.
De plus, il y avait 2 autres admin_post Actions, npListingSort et npCategoryFilter, qui donnait accès à des fonctions en lecture seule et ne serait donc pas la cible probable d’une attaque CSRF, mais pourrait être utilisé pour effectuer une attaque de redirection ouverte.
Chronologie
13 août 2021 18:27 UTC – Première communication avec le développeur du plugin.
13 août 2021 18h30 UTC – Le développeur du plugin répond.
13 août 2021 18:46 UTC – Divulgation complète envoyée.
13 août 2021 20:15 UTC – Une version corrigée du plugin est publiée.
Conclusion
Dans l’article d’aujourd’hui, nous avons couvert deux vulnérabilités dans les pages imbriquées, dont une qui pourrait être utilisée pour supprimer définitivement toutes les pages d’un site et une autre qui pourrait faciliter le phishing ou être utilisée pour masquer l’attaque initiale.
Un administrateur devrait être amené à visiter une page contrôlée par un attaquant afin d’exploiter ces vulnérabilités, mais elles peuvent toujours être utilisées pour causer une grande quantité de dégâts, nous vous recommandons donc fortement de mettre à jour vers la dernière version de Nested Pages, version 3.1 .16 au moment de la rédaction.
Si vous avez des amis ou des collègues qui utilisent ce plugin, veuillez partager cette annonce avec eux et les encourager à passer à la version 3.1.16 (ou plus récente) de Nested Pages dès que possible.
Un merci spécial au développeur du plugin, Kyle Phillips, pour avoir patché le plugin en un temps record.
Source link