Une faille dans deux plug-ins Wordpress très utilisés est exploitée par des attaquants, mettant en danger des millions de sites qui utilisent la solution de gestion de contenus (CMS). Ces deux plug-ins recourent au package Genericons qui rassemble des icônes vectorielles intégrées dans une fonte destinée au web. WordPress vient de livrer ce 7 mai la mise à jour 4.2.2 pour corriger cette faille. Il y a une semaine, l’équipe du CMS avait déjà fourni la mise à jour 4.2.1 pour intervenir sur une faille XXS découverte par Jouko Pynnönen, moins d'une semaine après une autre correction sur un problème similaire.

Les deux plug-ins impliqués dans la nouvelle vulnérabilité découverte sont JetPack, qui apporte des outils de personnalisation et de gestion de performance, et Twenty Fifteen, le thème par défaut de Wordpress, axé sur la présentation de blogs, a expliqué dans un billet David Dede, chercheur en sécurité chez Sucuri. Le fait que WordPress installe Twenty Fifteen par défaut augmente le nombre de sites vulnérables. 

Une vulnérabilité difficile à détecter

Le package Genericons d'icônes vectorielles contient un fichier dangereux, appelé example.html. La faille est difficile à détecter, selon David Dede, de Sucuri. Il s’agit d’une vulnérabilité de type XSS (cross-site scripting) exploitée à la suite d’une modification du Document Object Model (DOM) du navigateur web, cette API qui définit la façon d’accéder aux documents HTML et XML et de les afficher. 

L’attaque, qui entraîne l’utilisateur à cliquer sur un lien malveillant, s’exécute directement dans le navigateur et ne va pas sur le serveur, indique le chercheur de Sucuri, ce qui explique  pourquoi les pare-feux ne peuvent pas la voir et l’arrêter. Le 6 mai, Sucuri ajoutait qu’il avait trouvé un moyen d’intervention mais que ces failles XSS s’appuyant sur DOM étaient très difficiles à corriger. Des hébergeurs comme GoDaddy, DreamHost et ClickHost ont également pris des mesures pour protéger les utilisateurs, parfois à l’aide d’un correctif virtuel.

WordPress est utilisé par 23% des sites web, notamment ceux de Time et CNN. L'une des failles découvertes le mois dernier permettait à du code JavaScript malveillant de s’insérer dans des champs de commentaires pour s’exécuter.