Vulnerabilité Cross-site Flashing WordPress

Cross-site Flashing (XSF) vulnerability

WordPress, le système de gestion de contenu alimentant plus de 28% des sites Web sur Internet, est habitué à fournir des correctifs de sécurité en temps opportun à ses centaines de millions d’utilisateurs lorsque des vulnérabilités pouvant engendrer des failles de sécurité sont signalées. 

Découverte de la vulnérabilité XSF

Cette fois-ci cependant, Enguerran Gillier, un chercheur en sécurité, a découvert une vulnérabilité Cross-site Flashing (XSF) dans le noyau WordPress affectant toutes les versions de WordPress depuis 2 ans, y compris la dernière version de sécurité de WordPress (version 4.8.2 au moment de l’écriture). Ce même chercheur en sécurité avait déjà anciennement signalé des vulnérabilités similaires dans un programme Facebook “bug bounty program”.

Cette vulnérabilité est similaire à une vulnérabilité XSS (Cross-site Scripting). Un Hacker pourra exécuter du code Flash arbitraire dans le sandbox de sécurité WordPress. Cela signifiant qu’un hacker pourra créer du code pour envoyer une requête à n’importe quelle URL du domaine sur lequel WordPress est hébergé, en utilisant les cookies de la victime. Bien que ce dernier ne puisse pas manipuler le DOM, si la victime a Adobe Flash activé, le hacker pourra envoyer des requêtes pour obtenir des tokens WordPress CSRF (Cross Site Request Forgery) et effectuer des actions pour le compte de l’utilisateur. Si cet utilisateur se trouve être un administrateur, cela inclut la possibilité d’installer des plugins malveillants qui pourront alors engendrer des problèmes beaucoup plus importants.

Malgré la vulnérabilité  révélée à WordPress depuis plus d’un an (août 2016), aucun correctif n’a encore été publié.

Comment s’en protéger

Heureusement, la correction consiste simplement à supprimer ou restreindre l’accès au fichier vulnérable situé dans  /wp-includes/js/mediaelement/flashmediaelement.swf. Il s’agit d’un fichier “Flash fallback” ayant pour but d’intégrer des vidéos qui ne sont pas hébergées sur un site de streaming tel que YouTube ou Vimeo. (Voir image ci-dessus)

Certaines solutions permettent déjà de détecter cette vulnérabilité. Depuis le 17 octobre 2017, l’éditeur de logiciels de détection des vulnérabilités Web,  Acunetix, teste automatiquement  cette vulnérabilité XFS (Cross-site Flashing) dans le cadre de ses centaines de tests de plugins WordPress.

Une réflexion sur « Vulnerabilité Cross-site Flashing WordPress »

  1. Merci beaucoup, très instructif.
    Est-ce que si on apporte ce correctif dans wp, des vidéos hébergés dans une plateforme telle que Moodle ne seront pas intégrables dans WordPress?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *