Le CERT-XMCO vous propose chaque semaine le bulletin le plus important à prendre en compte pour la semaine écoulée.
| Titre | Compromission d’un système via deux vulnérabilités au sein du CMS WordPress |
| Titre officiel | WordPress 4.2.2 Security and Maintenance Release |
| Criticité |  Elevée |
| Date | 07 Mai 2015 |
| Plateforme | Toutes |
| Programme | WordPress |
| Exploitation | Distante |
| Dommage | Vol d’informations Contournement de sécurité Accès au système Manipulation de données |
| Description | Deux vulnérabilités ont été corrigées au sein du CMS WordPress. Leur exploitation permettait à un attaquant d’obtenir des informations sensibles, de manipuler des données, de contourner des restrictions de sécurité, voire de compromettre le système.
La faille de sécurité référencée CVE-2015-3429 provenait d’un fichier HTML inclus dans le package d’icônes Genericons, utilisé dans de nombreux thèmes et plugins WordPress. En incitant sa victime à suivre un lien spécialement conçu vers le fichier HTML vulnérable, un pirate pouvait forcer le navigateur de la victime à exécuter un code JavaScript malveillant. L’exploitation de cette vulnérabilité permettait de mener différentes attaques : vol du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, ou encore redirection de l’utilisateur vers un site malveillant (par ex. pour mener une attaque de type phishing en affichant un faux formulaire afin de voler les identifiants et mots de passe…). Le thème WordPress Twenty Fifteen, utilisant le package d’icônes Genericons, est inclus par défaut à l’installation de WordPress depuis la version 4.1. Note: cette vulnérabilité est déjà exploitée massivement par les attaquants. La deuxième faille de sécurité référencée CVE-2015-3440 provenait d’un défaut dans la taille des commentaires. En compromettant une page du site, un pirate pouvait forcer le navigateur d’un visiteur à exécuter un code JavaScript malveillant. L’exploitation de cette vulnérabilité permettait de mener différentes attaques : vol du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, ou encore redirection de l’utilisateur vers un site malveillant (par ex. pour mener une attaque de type phishing en affichant un faux formulaire afin de voler les identifiants et mots de passe…). La vulnérabilité avait été corrigée en urgence dans la version 4.2.1 (cf. CXA-2015-1381). La version 4.2.2 vise à compléter ce précédent correctif. |
| Vulnérable | Toutes les installations WordPress contenant un thème ou un plugin utilisant le package d’icônes Genericons avec le fichier HTML (example.html) vulnérable |
| Référence | https://wordpress.org/news/2015/05/wordpress-4-2-2/ https://www.netsparker.com/blog/news/dom-xss-vulnerability-wordpress-default-theme-twenty-fifteen/ http://securityaffairs.co/wordpress/36607/hacking/million-wordpress-dom-based-xss.html http://www.theregister.co.uk/2015/05/07/wordpresss_xss_twenty_fifteen/ |
| Référence CVE | http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3429 |
| Correction | Le CERT-XMCO recommande l’installation de la version 4.2.2 de WordPress disponible via le lien suivant :
https://wordpress.org/download/ Note : Le système de mise à jour automatique de WordPress permet aussi de mettre à jour le système. |
| Id XMCO | CXA-2015-1464 |
| Lien extranet XMCO | https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-1464 |
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article