Une vulnérabilité de type "jour-zéro" découverte sur l'extension WordPress Social Warefare
Date de publication :
Une vulnérabilité sur l'extension Social Warfare (v3.5.1 et v3.5.2), utilisée par le gestionnaire de contenu WordPress, a été identifiée et permet à un attaquant d'exploiter à distance une vulnérabilité de type Cross-Site Scripting (XSS). Cette vulnérabilité est activement exploitée dans la nature d'après les informations communiquées par les développeurs. Un correctif est désormais disponible dans la version 3.5.3 de l’extension. Cette extension a été téléchargée à plus de 70 000 reprises.
WordPress est un système de gestion de contenu gratuit, libre et open-source. Ce logiciel écrit en PHP repose sur une base de données MySQL. Les fonctionnalités de WordPress lui permettent de créer et de gérer différents types de sites Web : blogue, site de vente en ligne, site vitrine ou encore portfolio.
Détails techniques
CVE-2019-9978 [CVSS v3 6.1] Cette vulnérabilité est particulièrement critique dans la mesure où elle permet à des attaquants non authentifiés d'exécuter du code arbitraire à distance de type JavaScript. Ce code est directement stocké dans la base de données du site WordPress utilisant l’extension Social Warfare. Tous les navigateurs sont ainsi impactés par cette vulnérabilité.
La vulnérabilité permet à un attaquant de remplacer les boutons de partage sur les réseaux sociaux utilisés sur un site WordPress par du code arbitraire Javascript. Les visiteurs des sites Web utilisant cette extension sont redirigés vers une série de sites malveillants et leur activité individuelle est surveillée par l'intermédiaire des cookies de navigation. Les rapports ont indiqué une variété d'éventuelles cibles de redirection, comme la pornographie ou les escroqueries au faux support technique.
L’équipe de développement de Social Warfare a par ailleurs indiqué que cette vulnérabilité "jour-zéro" était activement utilisée pour compromettre des sites utilisant le gestionnaire du contenu WordPress.
Un correctif a été ajouté aux extensions WordPress deux heures après leur prise en compte via un message Twitter.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de script indirect (XSS)
Criticité
- Score CVSS : 6.10
Existence d’un code d’exploitation de la vulnérabilité
- Cette vulnérabilité est exploitée dans la nature mais aucun code d’exploitation n’est publiquement disponible pour le moment.
Composants & versions vulnérables
- Social Warfare (v3.5.1 et v3.5.2).
CVE
- CVE-2019-9978
Solutions ou recommandations
Mise en place de correctif de sécurité
- L’équipe de développement a publié un correctif Social Warfare intégré dans la version 3.5.3. L’application de ce correctif est également possible par l'intermédiaire du panneau d’administration du site WordPress (les développeurs ont déposé cette nouvelle version dans liste des extensions WordPress).
Solution de contournement
- Aucune solution de contournement n’est proposée.