TinyMCE, une vulnérabilité XSS a été patchée

Une faille de gravité importante a été révélée dans TinyMCE, un éditeur de texte open source utilisé dans les systèmes de gestion de contenu (CMS) des sites Web. La faille récemment corrigée pourrait avoir été potentiellement exploitée à distance par des pirates informatiques pour obtenir des privilèges administratifs sur des sites Web.

TinyMCE, développé par Tiny Technologies, est généralement inclus dans les systèmes de gestion de contenu utilisés par des sites Web tiers et fournit des fonctionnalités d’édition de texte Web, y compris du texte HTML. Tiny affirme que des millions de personnes utilisent TinyMCE quotidiennement, mais les chercheurs qui ont trouvé la faille estiment que seuls «des milliers» d’outils CMS de site Web sont réellement concernés. Les chercheurs ont découvert une faille intégrée de script intersite (XSS) dans TinyMCE, car le contenu n’était pas correctement assainit avant d’être chargé dans l’éditeur.

«Le risque et l’impact de cette vulnérabilité sur ces sites dépendent des détails de l’application dans laquelle TinyMCE est utilisé», selon un avis de sécurité publié la semaine dernière par Bishop Fox. «L’utilisation du mode d’édition «classique», les protections XSS existantes et la possibilité pour les utilisateurs de contrôler le contenu initial dans l’éditeur affectent l’exploitabilité de cette vulnérabilité.»

tinymce

George Steketee, consultant senior en sécurité chez Bishop Fox, a déclaré que dans une attaque dans le monde réel, par exemple, un forum Web peut utiliser TinyMCE pour fournir une interface pour la création de texte formaté (tel que gras, italique, liens, etc.). Un attaquant pourrait entrer une charge utile XSS spécialement conçue dans un message de forum et la soumettre au forum. Dans cet exemple, l’attaquant doit être un utilisateur authentifié, ce qui signifie qu’il doit être inscrit pour publier sur le forum, mais qu’il n’a pas de privilèges au-delà de la soumission de messages sur le forum, a déclaré Steketee.

«Si l’attaquant pouvait convaincre un administrateur de modifier la publication de l’attaquant (et de charger ainsi sa charge utile enregistrée dans une instance de TinyMCE), le script intégré (dans la charge utile spécialement conçue) serait exécuté dans le contexte de la session administrative», a déclaré Steketee . Cela signifie que l’attaquant pourrait obtenir des privilèges administratifs – ouvrant la voie à diverses autres attaques malveillantes – y compris l’exécution de code arbitraire, la divulgation d’informations sensibles et la prise de contrôle de compte, ont déclaré les chercheurs.

La raison de cette attaque est que la faille de sécurité (CVE-2020-12648) permet aux attaquants de contourner les mesures de désinfection via des balises HTML spécialement conçues. Ils peuvent injecter une balise avec des valeurs arbitraires [src et onerror] dans l’éditeur – simplement via le presse-papiers ou les API.

«Dans certains cas, cette faille est très simple: le simple fait de coller l’exemple de charge utile, de soumettre et de charger la page peut la déclencher. S’il est vulnérable, cela sera généralement relativement facile à exploiter, mais comme toujours dans cette faille, cela dépend de l’application », a déclaré Steketee.

tinymce

Mettez TinyMCE à jour

Les chercheurs recommandent aux utilisateurs de TinyMCE de s’assurer qu’ils sont à jour – en particulier s’ils n’implémentent pas de protections XSS supplémentaires telles qu’une politique de sécurité du contenu (CSP) stricte. La faille existe dans les version 5.2.0 et antérieures de l’application TinyMCE. Les utilisateurs peuvent mettre à jour vers la version la plus récente de l’application – soit la version 4.9.11, déployée le 13 juillet, et la version 5.4.1, distribuée le 8 juillet.

Au-delà de la mise à niveau, Tiny Technologies a déclaré qu’une autre solution de contournement pour la faille consiste à activer le plugin multimédia, qui remplace le comportement d’analyse par défaut pour les iframes, ou à ajouter une solution de contournement (trouvée dans une version de sécurité, ici) pour mettre à jour les règles de schéma d’analyse pour les iframes.

«TinyMCE est un éditeur de texte enrichi, et le problème est lié au fait que le contenu n’est pas correctement nettoyé avant d’être chargé dans l’éditeur», a déclaré Dylan Just, responsable de la sécurité des informations. «Nous avons publié des correctifs pour TinyMCE 4 et 5, mais nous recommandons à tous les utilisateurs de mettre à niveau vers la dernière version de TinyMCE 5. De plus, nous recommandons aux utilisateurs d’assainir le contenu côté serveur et d’ajouter une politique de sécurité du contenu appropriée à leurs sites Web.»

«La sécurité est extrêmement importante pour nous chez Tiny, et nous apprécions les efforts des chercheurs en sécurité pour aider à améliorer la sécurité de nos produits», a déclaré Just. «Nous tenons à remercier Mgr Fox pour nous avoir révélé le problème de manière responsable et pour sa communication rapide et son professionnalisme.

La vulnérabilité a été découverte le 7 avril 2020 et des correctifs ont depuis été déployés. La faille a été révélée publiquement la semaine dernière.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x