Vulnérabilité d’injection SQL et de XSS dans WordPress

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/002

Date de l’alerte: 14/01/2022

APERÇU :

Les vulnérabilités libellées CVE-2021-21661 et CVE-2021-21662 sont respectivement des vulnérabilités d’injection SQL et de XSS présentes sur les plateformes web de WordPress. L’exploitation de ces failles pourrait permettre à un attaquant d’accéder à des données sensibles, d’exécuter du code arbitraire et de prendre le contrôle à distance du serveur hébergeant l’application web vulnérable.

DESCRIPTION :

La vulnérabilité libellée CVE-2022-21661 est une vulnérabilité d’injection SQL due à une mauvaise configuration du module WP_Query. Les plugins ou thèmes utilisant ce module constituent des sources de failles potentielles permettant d’injecter du code SQL et d’interagir avec la base de données afin de recueillir des informations confidentielles.

La vulnérabilité de XSS stockée affectant les infrastructures web de WordPress libellée CVE-2022-21662 est due au mauvais filtrage des entrées utilisateurs. L’exploitation de cette vulnérabilité pourrait permettre d’injecter et d’exécuter du code JavaScript dans le navigateur des personnes visitant le site y compris les administrateurs desdits sites. Cela favorise la mise en place de porte dérobée (backdoor) et le contrôle à distance illégale de l’infrastructure ciblée.

IMPACT :

  • Atteinte à la confidentialité et l’intégrité des données
  • Exposition des utilisateurs hautement privilégiés à des portes dérobées (backdoor)
  • Compromission de l’infrastructure web

SYSTEMES AFFECTÉS :

Toutes les versions de WordPress entre 3.7 et 5.8.2 ;

MESURES À PRENDRE :

  • Faire la mise à jour des systèmes concernés vers la version 5.8.3 de WordPress en attendant la version 5.9 dont le lancement est prévu pour le 25 janvier 2022
  • Activer la mise à jour automatique de WordPress afin de recevoir les correctifs de sécurité en temps et en heure

REFERENCES :

  • https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/
  • https://nvd.nist.gov/vuln/detail/CVE-2022-21661
  • https://nvd.nist.gov/vuln/detail/CVE-2022-21662
  • https://portswigger.net/daily-swig/latest-wordpress-security-release-fixes-xss-sql-injection-bugs
Partagez sur vos réseaux.