Une faille de sécurité XSS affecte de nombreux plugins

Plusieurs Plugins populaires WordPress sont vulnérables à une faille XSS en raison de l'utilisation abusive des fonctions add_query_arg() et remove_query_arg(). Ces fonctions populaires sont utilisées par de nombreux développeurs pour modifier et ajouter des chaînes de requête pour les URLs au sein de WordPress.

Nota: Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour du hameçonnage ou encore de voler la session en récupérant les cookies.

Le cross-site scripting est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style) se lisant «cross» (croix) en anglais.

La documentation officielle de WordPress (Codex) pour ces fonctions n'était pas très claire, elle a induit involontairement en erreur de nombreux développeurs de plugins qui les utilisent de manière approximative. Les développeurs ont supposé que ces fonctions pourraient échapper à la saisie de l'utilisateur pour eux, quand ils ne l'utilisent pas. Ce simple détail, a rendu de nombreux plugins populaires vulnérables à cette faille XSS.

À ce jour, voici la liste des plugins touchés :

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • De nombreux produits de chez iThemes (Builder et Exchange)
  • Broken-Link-Checker
  • Ninja Forms
  • ...

Et il y en a surement d'autres...  Une bonne partie de ces plugins ayant été patchés récemment, nous vous recommandons fortement de mettre à jour tous vos plugins dès maintenant. Si vous utilisez la mise à jour automatique de WP Serveur, vos plugins devraient déjà être à jour.

WordPress a également réagit et la version 4.1.2 vient de sortir et corrige également plusieurs vulnérabilités de sécurité. Pour plus d’informations, consultez les notes de publication http://codex.wordpress.org/Version_4.1.2

 

Source : https://blog.sucuri.net/xss-vulnerability-affecting-multiple-wordpress-plugins/

 

Nous vous conseillons vivement de vérifier les mises à jour de ces plugins/thèmes. S'il n'y a pas de patch à jour, nous vous conseillons purement et simplement de les supprimer au plus vite de votre installation WordPress!

Envie d'un WordPress mieux sécurisé ?