Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la dernière mise à jour du CMS WordPress.
| Titre | [PATCH][WORDPRESS] Manipulation de données et contournement de sécurité via 2 vulnérabilités au sein de WordPress |
| Titre officiel | WordPress 4.4.2 Security and Maintenance Release |
| Criticité |  Moyenne |
| Date | 03 Fevrier 2016 |
| Plateforme | Toutes |
| Programme | WordPress |
| Exploitation | Distante |
| Dommage | Manipulation de données Contournement de sécurité |
| Description | Deux vulnérabilités ont été corrigées au sein de WordPress. Leur exploitation permettait à un attaquant de manipuler des données et de contourner des restrictions de sécurité.
La premiere vulnérabilité était due à une erreur non spécifiée. Elle pouvait être exploitée pour réaliser des attaques de type « Server-Side Request Forgery » (SSRF) sur des URls locales. En envoyant une requête HTTP spécialement conçue, un pirate était en mesure de forcer le serveur à envoyer des requêtes vers des ressources distantes dont l’accès est normalement restreint, et ainsi obtenir des informations pouvant être sensibles. La seconde vulnérabilité provenait d’un manque de validation des URLs sur la page « wp-includes/pluggable.php », permettant ainsi à un pirate de mener une attaque de type « open redirect » afin de rediriger un utilisateur vers une page malveillante. Un paramètre tel que « http:host.com » était suffisant pour contourner le filtre de sécurité appliqué par WordPress. |
| Vulnérable | * WordPress <= v4.4.1 |
| Non vulnérable | * WordPress >= v4.4.2 |
| Référence | https://wordpress.org/news/2016/02/wordpress-4-4-2-security-and-maintenance-release/
https://github.com/WordPress/WordPress/commit/361ed7a3d6592cc46a93bbd562d04847bfc132a4 |
| Correction | Le CERT-XMCO recommande l’installation de la version 4.4.2 de WordPress disponible au travers la mise à jour automatique de votre instance WordPress ou depuis le site de l’éditeur à l’adresse suivante : |
| Id XMCO | CXA-2016-0349 |
| Lien extranet XMCO | https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2016-0349 |
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article