Pour gérer vos consentements :

WordPress : une nouvelle faille critique se loge dans les commentaires

Mise à jour le 28/04 à 14h40, avec la sortie du patch 4.2.1

Une nouvelle faille critique affecte WordPress, l’outil de publication de sites Internet utilisé par 23 % des sites de la Toile selon les estimations de son éditeur. Alors que la plupart des failles touchant cette plate-forme concernent les plug-in (qu’il suffit alors de désactiver en attendant un correctif), la vulnérabilité en question, découverte par Jouko Pynnönen de la société de sécurité finlandaise Klikki Oy, touche le cœur de la plate-forme, dans ses versions 4.2 et précédentes.

L’attaque repose sur une vulnérabilité dite cross-scripting (XSS), qui résulte de la manière dont MySQL tronque les données. Elle permet d’injecter du Javascript dans un commentaire WordPress (d’au moins 66 000 caractères). Quand ce commentaire infectieux est visualisé par un administrateur connecté, l’attaque se déploie côté serveur (via l’éditeur de plug-in et de thèmes), permettant d’injecter du code au cœur même des sites WordPress. L’assaillant peut alors créer un nouveau compte administrateur, changer les mots de passe ou publier des contenus non approuvés. La vulnérabilité n’a aucun impact sur les lecteurs d’un site WordPress.

Certes, ce mécanisme nécessite l’approbation du commentaire piégé par un administrateur si WordPress a conservé son paramétrage par défaut. Mais, avec certains paramétrages de la plate-forme, l’assaillant peut aussi poster un premier commentaire anodin afin d’être approuvé par un administrateur, ce qui lui ouvre la porte à la publication de commentaires infectieux qui n’auront plus à être validés. Dans son billet de blog, Jouko Pynnönen conseille, en attendant un correctif, de désactiver purement et simplement les commentaires. L’éditeur américain Automattic, qui préside aux destinées de WordPress, a sorti en urgence une mise à jour, la 4.2.1, bouchant cette nouvelle vulnérabilité et recommande une application rapide du patch.

14 mois pour corriger un bug…

Quelques jours plus tôt, WordPress a corrigé un autre bug découvert en février 2014 par le chercheur Cédric Van Bockhaven et touchant déjà les commentaires. Cette vulnérabilité exploitait aussi la manière dont MySQL tronque l’information, cette fois après des caractères spéciaux. Le patch corrigeant cette faille permettant d’exécuter du code sur le serveur est livré dans WordPress 4.2.1, publié le 21 avril. C’est précisément ce délai de 14 mois entre la découverte de cette faille et la publication du correctif qui a incité Jouko Pynnönen à dévoiler publiquement la nouvelle vulnérabilité (politique dite du full-disclosure), contrairement à Cédric Van Bockhaven qui n’a détaillé le mécanisme de son attaque qu’une fois le correctif disponible.

« Au cours de cette période (les 14 mois séparant la découverte de Cédric Van Bockhaven de la publication du patch, NDLR), tous les serveurs WordPress utilisant les paramétrages par défaut du système de commentaires ont été piratables assez facilement, explique le chercheur finlandais. Il semble que le risque pour les utilisateurs de WordPress sera moindre et le correctif plus rapide à sortir avec une politique de full disclosure. » Les faits semblent lui donner raison puisque qu’Automattic a cette fois été prompt à réagir, probablement aidé par la proximité des mécanismes d’attaques utilisés par Cédric Van Bockhaven et Jouko Pynnönen.

Le Finlandais profite toutefois de la révélation de sa faille XSS pour dézinguer les développeurs de la plate-forme d’édition Web. En novembre dernier, il affirme avoir informé ces derniers d’une autre vulnérabilité dont le correctif n’est toujours pas sorti. Selon le chercheur, les équipes de l’éditeur n’ont « fourni aucune explication sur la raison pour laquelle ce bug n’est toujours pas corrigé ». Jouko Pynnönen précise toutes les versions de WordPress sont affectées par cette troisième faille.