Si vous avez un site WordPress et si vous utilisez le plug-in très populaire plug-in All in One SEO Pack, vous devriez le mettre à jour sans délai. En effet, il contient une vulnérabilité XSS persistante qui peut permettre le détournement du compte administrateur du site. La dernière version livrée vendredi corrige cette vulnérabilité. La faille, localisée dans la fonction Bot Blocker du plug-in, peut être exploitée à distance par l’envoi de requêtes HTTP contenant des en-têtes spécialement conçues pour le site Web. Selon le chercheur en sécurité David Vaartjes, qui a trouvé et signalé le problème, la fonction Bot Blocker permet de détecter et de bloquer les robots spammeurs qui collectent des adresses mails en fonction des valeurs de l’user agent et de l’en-tête de référence.

Si le paramètre Track Blocked Bots est activé - il n’est pas activé par défaut - le plug-in va charger toutes les requêtes bloquées et les afficher sur une page HTML dans le panneau d'administration du site. Mais, comme le plug-in ne parvient pas à faire correctement le tri dans les requêtes avant de les afficher, les attaquants peuvent injecter du code JavaScript malveillant dans les en-têtes, et le code se retrouve finalement dans le code HTML de la page.

Un pack SEO installé plus d'un million de fois

Cela permet à des pirates de mener une attaque persistante par cross-site scripting (XSS) : à chaque fois qu'un utilisateur consulte la page du journal, le code malveillant est exécuté. Mais, parce que la page se trouve dans le panneau d'administration, l’utilisateur qui la consulte est probablement l'administrateur du site, et le code peut voler ses jetons de session. La valeur de ces jetons, stockée dans le navigateur, permet à un site Web d’identifier un utilisateur connecté. Il suffit aux attaquants d’inclure ces valeurs volées dans leurs propres navigateurs pour accéder au site Web en tant qu'administrateur sans avoir à s’authentifier. Le code malveillant peut aussi forcer le navigateur de l'administrateur à effectuer une action qu'il n'a normalement pas autorisé.

La version 2.3.7 du pack All in One SEO livrée vendredi par l’éditeur Semper Fi Web Design corrige cette vulnérabilité. Les utilisateurs sont invités à mettre leur plug-in à jour dès que possible ou au minimum de s’assurer que le paramètre Track Bloked Bots n’est pas activé. Le pack All in One SEO ajoute un grand nombre de fonctionnalités d'optimisation pour les moteurs de recherche qui permettent d’accroître la visibilité d'un site Web dans les résultats de recherche. Selon les statistiques du référentiel de plug-ins de WordPress, le pack a été installé plus d'un million de fois.