Une faille de sécurité importante de type XSS (cross-site scripting) menace une grande partie des sites WordPress (des versions 3.0 à 3.9.2). Cette faille permet d’injecter du code malveillant depuis les commentaires d’un site.
Présente depuis 2009, cette faille permet d’injecter du code JavaScript malveillant dans certaines zones de texte. Le code injecté dans un commentaire est exécuté lorsqu’un utilisateur accède au site que ce soit dans une page, un blog ou la section des commentaires du tableau de bord de gestion.
Dans le scénario le plus crédible, un pirate laisse un commentaire contenant le code JavaScript et quelques liens pour laisser le commentaire dans la queue de modération. « L’exploit » n’est pas visible à l’utilisateur standard, aux moteurs de recherches, etc.
Quand l’administrateur du blog atteint le tableau de bord des commentaires pour évaluer ces derniers, le code JavaScript est exécuté. Ce script peut alors opérer avec les droits et privilèges de l’administrateur.
L’équipe de recherche en sécurité, menée par Joug Pynnonen a réalisé une preuve de concept. Celle-ci efface en premier les traces du code injecté de la base de donnée, puis exécute d’autres tâches d’administration comme changer le mot de passe courant, ajouter un nouveau compte administrateur, ou utiliser un plugin d’édition pour écrire attaquer le serveur avec du code PHP. Toutes ses opérations ont pu être réalisées en tâche de fond sans que l’utilisateur ne soit averti ou puisse remarquer la moindre anomalie. Cette attaque, dans le pire des cas, peut atteindre le système d’exploitation du serveur avec l’exécution instantanée d’une requête AJAX.
Tout d’abord, la version 4.0 de WordPress n’est pas affectée par la faille a priori. Une mise à jour de sécurité a toutefois été livrée pour renforcer le système de gestion de contenu contre les attaques de type « cross-site scripting ».
Les sites fonctionnant sous version WordPress 3.9.2, 3.8.4, ou 3.7.4, seront mis à jour vers les versions 3.9.3, 3.8.5, ou 3.7.5 automatiquement si le support des mises à jour en tâche de fond est activé.
Pour les utilisateurs de versions antérieurs, il est fortement recommandé de migrer vers une version 4.0.1 rapidement.
Source : http://klikki.fi
Mise à jour de sécurité : https://wordpress.org/news/