Vulnérabilité d’injection d’entités externes dans WordPress

Origine: bjCSIRT

Numéro: 2021/ALERTE/019

Date de l’alerte: 29/04/2021

APERÇU :

WordPress a récemment publié une mise à jour de sécurité pour son système de gestion de contenu (CMS) qui apporte des correctifs pour des vulnérabilités. Parmi elles, se trouve la vulnérabilité critique libellée CVE-2021-29447 qui permettrait à un attaquant de voler à distance des fichiers hôtes.

DESCRIPTION :

WordPress est un système de gestion des contenus destinés à la création dynamique de sites web ou d’applications multimédias.

La faille libellée CVE-2021-29447 est une injection d’entité externe XML (XXE) existant dans la bibliothèque ID3 de PHP 8, qui est utilisée par WordPress.

L’injection d’entités externes (XXE) est une vulnérabilité de sécurité Web qui permet à un attaquant d’interférer avec le traitement des données XML d’une application. Cela peut permettre d’afficher des fichiers sur le système de fichiers du serveur d’applications et d’interagir avec tous les systèmes dorsaux ou externes auxquels l’application elle-même peut accéder.

La vulnérabilité existe en raison d’une validation insuffisante de l’entrée XML fournie par l’utilisateur dans la médiathèque. Authentifié à distance, l’attaquant est capable de télécharger des fichiers et transmettre un code XML spécialement conçu à l’application vulnérable et d’afficher le contenu de fichiers arbitraires sur le système ou lancer des requêtes vers des systèmes externes.

Cependant, le problème n’est présent que sur les systèmes exécutant des installations WordPress sur PHP 8. De plus, les autorisations pour télécharger des fichiers multimédias sont nécessaires. Combinée à une autre vulnérabilité ou à un plugin permettant aux visiteurs de télécharger des fichiers multimédias, elle pourrait être exploitée avec des privilèges inférieurs.

Une exploitation réussie de la vulnérabilité permettrait à un attaquant de visualiser le contenu d’un fichier arbitraire sur le serveur, d’effectuer une analyse réseau de l’infrastructure interne et externe, et d’accéder à des informations sensibles.

IMPACT :

  • Corruption de système
  • Accès au système de fichiers
  • Analyse réseau de l’infrastructure interne et externe

SYSTEMES AFFECTÉS :

WordPress : Version 5.7 et antérieures tournant sous PHP 8

MESURES À PRENDRE :

  Installer les mises à jour à partir du site Web du fournisseur.

REFERENCES :

  • https://portswigger.net/daily-swig/wordpress-xxe-injection-vulnerability-could-allow-attackers-to-remotely-steal-host-files
  • https://www.securityweek.com/wordpress-571-patches-xxe-flaw-php-8
  • https://vuldb.com/?id.173141
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-29447
  • https://portswigger.net/web-security/xxe
  • https://www.cybersecurity-help.cz/vdb/SB2021042553
Partagez sur vos réseaux.