[PATCH][WORDPRESS] Manipulation de données et contournement de sécurité via 2 vulnérabilités au sein de WordPress

[PATCH][WORDPRESS] Manipulation de données et contournement de sécurité via 2 vulnérabilités au sein de WordPress

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la dernière mise à jour du CMS WordPress.

Bulletin CXA-2016-0349
Titre [PATCH][WORDPRESS] Manipulation de données et contournement de sécurité via 2 vulnérabilités au sein de WordPress
Titre officiel XMCO Security and Maintenance Release
Criticité Criticite Moyenne
Date 03 Fevrier 2016
Plateforme Toutes
Programme WordPress
Exploitation Distante
Dommage Manipulation de données
Contournement de sécurité
Description Deux vulnérabilités ont été corrigées au sein de WordPress. Leur exploitation permettait à un attaquant de manipuler des données et de contourner des restrictions de sécurité.

La premiere vulnérabilité était due à une erreur non spécifiée. Elle pouvait être exploitée pour réaliser des attaques de type « Server-Side Request Forgery » (SSRF) sur des URls locales. En envoyant une requête HTTP spécialement conçue, un pirate était en mesure de forcer le serveur à envoyer des requêtes vers des ressources distantes dont l’accès est normalement restreint, et ainsi obtenir des informations pouvant être sensibles.

La seconde vulnérabilité provenait d’un manque de validation des URLs sur la page « wp-includes/pluggable.php », permettant ainsi à un pirate de mener une attaque de type « open redirect » afin de rediriger un utilisateur vers une page malveillante. Un paramètre tel que « http:host.com » était suffisant pour contourner le filtre de sécurité appliqué par WordPress.

Vulnérable * WordPress <= v4.4.1
Non vulnérable * WordPress >= v4.4.2
Référence https://wordpress.org/news/2016/02/wordpress-4-4-2-security-and-maintenance-release/

https://github.com/WordPress/WordPress/commit/361ed7a3d6592cc46a93bbd562d04847bfc132a4

Correction Le CERT-XMCO recommande l’installation de la version 4.4.2 de WordPress disponible au travers la mise à jour automatique de votre instance WordPress ou depuis le site de l’éditeur à l’adresse suivante :

https://wordpress.org/download/

Id XMCO CXA-2016-0349
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2016-0349

Cert-XMCO