Après la sortie de WordPress 5.0 ‘Bebo’, l’étape suivante consistait à corriger les failles de sécurité qui s’étaient accumulées depuis la dernière version de Security and Maintenance de juillet dernier.
La mise à jour WordPress de la semaine dernière nous fait passer à la version 5.0.1, qui effectue un backport des failles de sécurité jusqu’à la version 3.7, à l’exception de quelques problèmes de compatibilité documentés.
Les chiffres ne sont pas si mauvais : seulement sept failles à corriger, mais cette mise à jour WordPress en comprend d’importantes qui méritent l’attention de l’administrateur.
La désérialisation PHP
La faille dont on a entendu le plus parler est probablement celle révélée par Sam Thomas, chercheur à Secarma, lors de la conférence Black Hat du mois d’août dernier, et qui a découvert un moyen de générer des entrées malveillantes dans la fonction de désérialisation PHP.
La sérialisation implique de prendre un objet et de le convertir en texte clair, le danger apparaît lorsque cet objet est reconverti en un objet conçu de manière malveillante.
C’est un type de faille que les chercheurs étudient actuellement dans d’autres applications. Dans le contexte précis de WordPress, Thomas a déclaré :
Avant la version 5.0.1, WordPress n’exigeait pas que les fichiers uploadés soient soumis à une vérification de type MIME. Par conséquent, les fichiers pouvaient être uploadés même si le contenu ne correspondait pas à l’extension de fichier. Par exemple, un fichier binaire pouvait être chargé avec une extension .jpg.
J’ai souligné que la désérialisation est exposée à de nombreuses vulnérabilités que l’on aurait pu considérer auparavant comme présentant un risque assez faible.
XSS
Le nom du chercheur Tim Cohen apparaît concernant trois failles : pour commencer, une vulnérabilité cross-site scripting (XSS), co-créditée à Slavco Mihajloski, qui permettrait à un attaquant de contourner la vérification MIME en uploadant des fichiers spécialement conçus sur des sites hébergés par Apache.
Les deux autres, impliquant également une faille XSS, concernent un moyen pour les contributeurs d’éditer les nouveaux commentaires d’utilisateurs disposant de privilèges élevés et un moyen permettant à des entrées d’URL spécialement conçues de générer un XSS dans certains plugins et “dans des situations particulières”.
Yoast
La nouvelle faille découverte par Yoast, et plutôt flagrante d’ailleurs, pourrait également, dans de rares cas, permettre à un attaquant d’accéder à l’écran d’activation de l’utilisateur pour les nouveaux utilisateurs affichant des adresses email et des mots de passe à l’aide d’une recherche Google (à ne pas confondre avec la faille récente de Yoast : CVE-2018-19370).
RIPS
Simon Scannell, de l’entreprise de sécurité PHP RIPS Technologies (qui a récemment découvert une faille dans WooCommerce) a découvert que les auteurs pouvaient créer des publications de types non autorisés avec une entrée spécialement conçue.
Une seconde découverte par RIPS, cette fois crédité à Karim El Ouerghemmi, a révélé une faiblesse qui pouvait permettre aux auteurs de supprimer des fichiers qu’ils n’étaient pas autorisés à supprimer.
À moins que votre site ne se mette à jour automatiquement, vous pouvez trouver WordPress 5.0.1 via Tableau de bord> Mises à jour> Mettre à jour maintenant.
C’est le même processus si vous utilisez une version plus ancienne. Toutefois, s’il s’agit d’une version proche de la version 3.7, il est peut-être temps de procéder à la mise à niveau ou d’être oublié à tout jamais par l’équipe développement de WordPress !
Bien sûr, aucune mise à jour WordPress de sécurité ne vous protégera si les mots de passe de vos utilisateurs sont affreusement mauvais. La semaine dernière, une attaque reposant sur quelques modèles de mot de passe basiques a été découverte. Elle a déjà compromis 20 000 sites WordPress via un botnet CMS géant.
Billet inspiré de Update now! WordPress 5.0.1 release fixes seven flaws, sur Sophos nakedsecurity.