[PATCH] [WORDPRESS] Compromission d’un système via deux vulnérabilités au sein du CMS WordPress

[PATCH] [WORDPRESS] Compromission d’un système via deux vulnérabilités au sein du CMS WordPress

Le CERT-XMCO vous propose chaque semaine le bulletin le plus important à prendre en compte pour la semaine écoulée.

Bulletin CXA-2015-1464
Titre Compromission d’un système via deux vulnérabilités au sein du CMS WordPress
Titre officiel XMCO Security and Maintenance Release
Criticité Criticite Elevée
Date 07 Mai 2015
Plateforme Toutes
Programme WordPress
Exploitation Distante
Dommage Vol d’informations
Contournement de sécurité
Accès au système
Manipulation de données
Description Deux vulnérabilités ont été corrigées au sein du CMS WordPress. Leur exploitation permettait à un attaquant d’obtenir des informations sensibles, de manipuler des données, de contourner des restrictions de sécurité, voire de compromettre le système.

La faille de sécurité référencée CVE-2015-3429 provenait d’un fichier HTML inclus dans le package d’icônes Genericons, utilisé dans de nombreux thèmes et plugins WordPress. En incitant sa victime à suivre un lien spécialement conçu vers le fichier HTML vulnérable, un pirate pouvait forcer le navigateur de la victime à exécuter un code JavaScript malveillant. L’exploitation de cette vulnérabilité permettait de mener différentes attaques : vol du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, ou encore redirection de l’utilisateur vers un site malveillant (par ex. pour mener une attaque de type phishing en affichant un faux formulaire afin de voler les identifiants et mots de passe…).

Le thème WordPress Twenty Fifteen, utilisant le package d’icônes Genericons, est inclus par défaut à l’installation de WordPress depuis la version 4.1.

Note: cette vulnérabilité est déjà exploitée massivement par les attaquants.

La deuxième faille de sécurité référencée CVE-2015-3440 provenait d’un défaut dans la taille des commentaires. En compromettant une page du site, un pirate pouvait forcer le navigateur d’un visiteur à exécuter un code JavaScript malveillant. L’exploitation de cette vulnérabilité permettait de mener différentes attaques : vol du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, ou encore redirection de l’utilisateur vers un site malveillant (par ex. pour mener une attaque de type phishing en affichant un faux formulaire afin de voler les identifiants et mots de passe…). La vulnérabilité avait été corrigée en urgence dans la version 4.2.1 (cf. CXA-2015-1381). La version 4.2.2 vise à compléter ce précédent correctif.

Vulnérable Toutes les installations WordPress contenant un thème ou un plugin utilisant le package d’icônes Genericons avec le fichier HTML (example.html) vulnérable
Référence https://wordpress.org/news/2015/05/wordpress-4-2-2/
https://www.netsparker.com/blog/news/dom-xss-vulnerability-wordpress-default-theme-twenty-fifteen/
http://securityaffairs.co/wordpress/36607/hacking/million-wordpress-dom-based-xss.html
http://www.theregister.co.uk/2015/05/07/wordpresss_xss_twenty_fifteen/
Référence CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3429
Correction Le CERT-XMCO recommande l’installation de la version 4.2.2 de WordPress disponible via le lien suivant :

https://wordpress.org/download/

Note : Le système de mise à jour automatique de WordPress permet aussi de mettre à jour le système.

Id XMCO CXA-2015-1464
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-1464

Cert-XMCO