Le 26 janvier 2023, l’équipe Wordfence a divulgué de manière responsable deux vulnérabilités dans Pack SEO tout-en-unun plugin WordPress installé sur plus de 3 millions de sites qui fournit des outils d’optimisation des moteurs de recherche conçus pour aider les créateurs de contenu à optimiser leurs sites et à atteindre plus d’utilisateurs.
Les deux problèmes signalés étaient des vulnérabilités de script intersite stocké, l’une nécessitant des privilèges de niveau administrateur (CVE-2023-0585) tandis que l’autre était accessible aux utilisateurs de Contributor et supérieur (CVE-2023-0586).
Le 25 janvier 2023, l’équipe Wordfence a publié une règle de pare-feu personnalisée pour résoudre la vulnérabilité de script intersite Contributor + et l’a publiée à notre Wordfence Premium, Soins des motset Réponse Wordfence utilisateurs. Les utilisateurs de Wordfence Free ont reçu cette règle 30 jours plus tard. Depuis le 24 février 2023, tous les utilisateurs de Wordfence sont protégés contre cette vulnérabilité par cette règle.
Résumés des vulnérabilités
Le plug-in All in One SEO Pack pour WordPress est vulnérable aux scripts intersites stockés via plusieurs paramètres dans les versions jusqu’à 4.2.9 incluses en raison d’une désinfection insuffisante des entrées et de l’échappement des sorties. Cela permet aux attaquants authentifiés disposant d’un accès de niveau Contributeur ou supérieur d’injecter des scripts Web arbitraires dans des pages qui s’exécuteront chaque fois qu’un utilisateur accédera à une page injectée.
Le plug-in All in One SEO Pack pour WordPress est vulnérable aux scripts intersites stockés via plusieurs paramètres dans les versions jusqu’à 4.2.9 incluses en raison d’une désinfection insuffisante des entrées et de l’échappement des sorties. Cela permet aux attaquants authentifiés disposant d’un accès de niveau administrateur ou supérieur d’injecter des scripts Web arbitraires dans des pages qui s’exécuteront chaque fois qu’un utilisateur accédera à une page injectée.
Analyse de vulnérabilité
Le plugin All In One SEO Pack fournit aux propriétaires de sites une interface intuitive pour aider à optimiser le contenu du site pour les moteurs de recherche, à la fois lors de la configuration ainsi que sur une base continue par publication et par page. Malheureusement, les versions vulnérables de ce plugin ne parviennent pas à échapper aux titres de site soumis, aux méta descriptions et à d’autres éléments lors de la création de messages et de pages, et lors de la modification des paramètres du plugin. Cela a permis aux utilisateurs ayant accès à l’éditeur de publication, tels que les contributeurs, d’insérer du code JavaScript malveillant dans ces champs, qui s’exécuterait dans le navigateur de tout utilisateur authentifié, tel qu’un administrateur de site, éditant une telle publication ou page.
Il s’agit d’un scénario susceptible de se produire car les messages écrits par les contributeurs doivent être examinés et modérés avant la publication.
Cette vulnérabilité est un peu plus unique que celles que nous avons couvertes par le passé, car le code vulnérable est exécuté à la suite de la modification du modèle d’objet de domaine (DOM) dans le navigateur de la victime après le chargement de la page. Plus précisément, dans la capture d’écran ci-dessus, le plug-in utilise l’entrée dans le champ Titre du message et crée un aperçu de l’extrait à la volée. Le code malveillant est stocké, mais n’est pas exécuté tant que cette modification du DOM n’a pas eu lieu. Ce type de vulnérabilité de type Cross-Site Scripting est souvent appelé DOM-XSS.
De même, un administrateur pourrait modifier l’apparence de recherche ou les paramètres généraux des médias sociaux pour inclure la même charge utile malveillante, ce qui entraînait l’exécution de code JavaScript malveillant, lors de la modification de pages ou de publications ainsi que lors de l’affichage de la liste de toutes les publications/pages.
Il est important de garder à l’esprit qu’un code malveillant peut être exécuté dans le contexte des sessions de navigateur d’un administrateur et pourrait être utilisé pour générer de nouveaux comptes d’utilisateurs malveillants et être utilisé pour la manipulation de code, entre autres. En tant que tels, ces types de vulnérabilités doivent être pris au sérieux même si des privilèges de niveau contributeur sont requis pour une exploitation réussie.
Calendrier
25 janvier 2023 – Wordfence publie une règle de pare-feu pour résoudre la vulnérabilité Contributor+ Stored Cross-Site Scripting.
26 janvier 2023 – L’équipe Wordfence divulgue de manière responsable les vulnérabilités au fournisseur du plugin.
27 janvier 2023 – Le fournisseur confirme la réception et commence à travailler sur un correctif.
6 février 2023 – La version 4.3.0 corrige les deux vulnérabilités.
24 février 2023 – La règle de pare-feu pour résoudre la vulnérabilité Contributor + Stored Cross-Site Scripting est publiée pour nos utilisateurs de Wordfence Free.
Conclusion
Dans le post d’aujourd’hui, nous avons couvert deux vulnérabilités de Cross-Site Scripting dans All In One SEO Pack, un plugin d’optimisation pour les moteurs de recherche avec plus de 3 millions d’utilisateurs. Le 25 janvier 2023, l’équipe Wordfence Threat Intelligence a publié une règle de pare-feu offrant une protection contre la vulnérabilité Contributor+ Stored Cross-Site Scripting. Cette règle protège notre Wordfence Premium, Soins des mots et Réponse Wordfence utilisateurs depuis cette date, tandis que ceux qui utilisent encore notre version gratuite ont reçu cette règle le 24 février 2023.
Si vous pensez que votre site a été compromis en raison de cette vulnérabilité ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via Soins des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse Wordfence offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire. Si vous avez des amis ou des collègues qui utilisent ce plugin, veuillez partager cette annonce avec eux et les encourager à mettre à jour la dernière version corrigée de All In One SEO Pack dès que possible.
Si vous êtes chercheur en sécurité, vous pouvez nous divulguer vos découvertes de manière responsable et obtenir un ID CVE et obtenez votre nom sur le Classement Wordfence Intelligence Community Edition.
Source link