Real Time Find and Replace vulnérable à une attaque CSRF

Une vulnérabilité CSRF a été découverte dans Real Time Find and Replace, un plugin WordPress installé sur plus de 100 000 sites. Cette vulnérabilité pourrait mener à des scripts inter-sites et à l’injection de code JavaScript malveillant sur n’importe quel site vulnérable.

Selon une étude de Wordfence, l’injection de code malveillant pourrait être utilisée pour créer un nouveau compte d’utilisateur avec des permissions d’administrateur, dérober des cookies de session, rediriger les utilisateurs vers un site malveillant, obtenir un accès administratif ou infecter des visiteurs innocents parcourant un site compromis.

real time find and replace

Real-Time Find and Replace permet aux administrateurs de remplacer dynamiquement tout contenu HTML sur les sites WordPress par un nouveau contenu sans modifier définitivement le contenu source, juste avant qu’une page ne soit livrée au navigateur d’un utilisateur. Tout code ou contenu de remplacement s’exécute à chaque fois qu’un utilisateur accède à une page qui contient le contenu initial.

“Pour fournir cette fonctionnalité, le plugin enregistre une page de sous-menu liée à la fonction far_options_page avec une exigence de capacité pour ‘activate_plugins’ ”, a expliqué la chercheuse de Wordfenc,e Chloe Chamberland, dans un article. “La fonction far_options_page contient le cœur de la fonctionnalité du plugin pour ajouter de nouvelles règles de recherche et de remplacement. Malheureusement, cette fonction n’a pas pu utiliser la vérification de nonce, donc l’intégrité de la source d’une demande n’a pas été vérifiée lors de la mise à jour des règles, ce qui a entraîné une vulnérabilité CSRF. »

wordpress

Les attaques CSRF ou XSRF sont utilisées pour envoyer des demandes malveillantes d’un utilisateur authentifié à une application Web. Ainsi, un exploit réussi de la faille nécessite une interaction de l’utilisateur: un pirate devra inciter l’administrateur d’un site à cliquer sur un lien malveillant dans un commentaire ou un e-mail, selon Wordfence.

Les pirates informatiques pourraient particulièrement faire des ravages s’ils utilisaient la faille pour remplacer la balise HTML par du JavaScript malveillant, a-t-elle ajouté. Étant donné que la plupart des pages contiennent une balise HTML pour l’en-tête de page, une fois remplacé, le code malveillant s’exécuterait sur chaque page du site affecté.

La mise à jour vers la dernière version du plugin Real Time Find and Replace, la version 4.0.2, implémentera un correctif pour le problème.

«Dans la version la plus récente de Real Time Find and Replace, un nonce a été ajouté avec une fonction de vérification de nonce ‘check_admin_referer’ pour garantir la légitimité de la source d’une demande», a déclaré Chamberland.

Real Time Find and Replace n’est pas seul

Les plugins WordPress continuent de faire les gros titres comme des maillons faibles qui peuvent conduire à la compromission de sites Web. Par exemple, en Avril, 2 failles de sécurité (l’une d’elles critique) dans le plugin d’optimisation pour les moteurs de recherche (SEO) connue sous le nom de RankMath, ont été trouvées. Selon les chercheurs, ces failles pouvaient permettre aux cybercriminels distants d’élever leurs privilèges et d’installer des redirections malveillantes sur un site vulnérable. RankMath compte plus de 200 000 installations.

En Mars, une vulnérabilité critique dans un plugin WordPress appelé «ThemeREX Addons» a été trouvée et permettait des exécutions de code à distance dans 44 000 sites Internet.

Toujours en Mars, 2 vulnérabilités – dont une faille de gravité élevée – ont été corrigées dans un plugin WordPress populaire appelé Popup Builder. La faille la plus grave pourrait permettre à un attaquant non authentifié d’injecter du JavaScript malveillant dans une fenêtre contextuelle – rendant potentiellement plus de 100 000 sites Web vulnérables à une prise de contrôle.

En Février, le célèbre plugin WordPress Duplicator, qui compte plus d’un million d’installations actives, contenait une vulnérabilité de téléchargement de fichiers arbitraires non authentifié qui était exploitée par des pirates. Et, le mois dernier, une faille critique dans un plugin WordPress populaire qui aide à rendre les sites Web conformes au Règlement général sur la protection des données (RGPD) a été révélée. Cette faille pourrait permettre aux attaquants de modifier le contenu ou d’injecter du code JavaScript malveillant dans les sites Web des victimes. 700 000 sites sont concernés.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x