WordPress a publié la version de sécurité 6.9.2 pour corriger plusieurs vulnérabilités, mais la mise à jour a provoqué le crash de certains sites (affichage d’un écran blanc). WordPress a donc rapidement suivi avec une mise à jour supplémentaire contenant un correctif pour le problème introduit par la version 6.9.2.
La société de sécurité WordPress Wordfence a publié les détails de quatre des vulnérabilités, classées comme de gravité moyenne, tandis que WordPress.org a publié la liste complète de dix, dont une due à une bibliothèque PHP externe.
Chronologie des sites WordPress en panne
Certains utilisateurs de WordPress ont signalé que la mise à jour de sécurité avait provoqué le crash de leurs sites. Certains sur Reddit spéculé qu’il y avait quelque chose qui n’allait pas avec le correctif de sécurité WordPress, ce qui en déduisait qu’il était lié au codage d’ambiance. Une discussion sur les forums WordPress officiels décrivant des problèmes liés aux fonctionnalités du site a également commencé peu de temps après la publication du correctif de sécurité.
Le premier poste a décrit leur problème :
« Il y a quelques minutes, j’ai reçu une mise à jour de Dreamhost indiquant que mon site Web avait été automatiquement mis à jour vers WP 6.9.2. Désormais, toutes les pages que j’essaie de charger deviennent vides. Je peux toujours me connecter au back-end, les pages sont toujours là pour l’édition, le contenu est présent, mais lorsque je vais sur la page d’accueil ou sur toute autre page, rien ne s’affiche (la source d’affichage est également vide.)
WordPress 6.9.2 avec thème Crio, à jour.
D’autres ont suivi, décrivant des problèmes similaires, et quelques messages plus tard, l’un des principaux développeurs a répondu en disant que le problème était directement lié à quelque chose dans certains thèmes et a suggéré de le vérifier en passant à un autre thème. Sept heures après le message initial, la personne qui a lancé le fil de discussion a de nouveau posté pour noter que WordPress avait publié un correctif de bug, la version 6.9.3, pour résoudre les problèmes introduits par la version 6.9.2, qui étaient dus à la façon dont certains thèmes étaient codés et non à la version de sécurité elle-même.
Réponse officielle de WordPress
Le problème de plantage des sites semble être lié à la manière non standard dont certains thèmes chargent les fichiers modèles. Ces thèmes utilisaient une méthode de chargement de modèles non prise en charge, ce qui entraînait ensuite un conflit avec le correctif. Les ingénieurs de WordPress ont rapidement publié un correctif supplémentaire pour résoudre ces problèmes, même si le problème concernait le thème et non WordPress.
Selon WordPress remarques pour le correctif de la version 6.9.3 :
« Cette version comporte un correctif pour certains thèmes qui utilisent un mécanisme inhabituel d’« objet stringable » lors du chargement des chemins de fichiers modèles qui ont été brisés dans la version de sécurité 6.9.2.
Bien qu’il ne s’agisse pas d’une approche officiellement prise en charge pour charger des fichiers modèles dans WordPress (le filtre template_include n’accepte qu’une chaîne), cela a néanmoins provoqué la panne de certains sites et l’équipe a donc décidé de résoudre ce problème dans une version 6.9.3 rapide. Les utilisateurs utilisant les thèmes concernés doivent mettre à jour vers la version 6.9.3 pour restaurer le front-end de leur site dans un état opérationnel.
Avis Wordfence
Wordfence a publié des détails sur quatre des vulnérabilités, avec des indices de gravité CVSS de 4,3 à 6,4 sur une échelle de 1 à 10, 10 étant le niveau de gravité le plus élevé. Tous nécessitent une authentification pour être exploités, ce qui signifie qu’un attaquant devra d’abord obtenir des autorisations utilisateur allant du niveau d’abonné à l’administrateur afin de lancer une attaque.
Liste de quatre vulnérabilités décrites par Wordfence :
- Indice de gravité CVSS 4,3
WordPress 6.9 – 6.9.1 – Autorisation manquante pour la création de notes arbitraires authentifiées (Abonné +) via l’API REST - Indice de gravité CVSS 4,3
WordPress <= 6.9.1 – Autorisation manquante pour la divulgation d'informations sensibles authentifiées (Auteur +) via les pièces jointes de requête AJAX Endpoint - Indice de gravité CVSS 4,4
WordPress <= 6.9.1 – Scripts intersites stockés authentifiés (administrateur +) via les éléments du menu de navigation - Indice de gravité CVSS 6,5
WordPress <= 6.9.1 – Injection d'entité externe XML authentifiée (Auteur +) via le téléchargement de médias de la bibliothèque getID3
La barrière des mots consultatif pour la vulnérabilité la plus grave, notée 6,5/10, décrit la faille :
« Le noyau WordPress est vulnérable à l’injection d’entités externes XML (XXE) via la bibliothèque getID3 fournie dans toutes les versions jusqu’à 6.9.1 incluse. Cela est dû à la constante `GETID3_LIBXML_OPTIONS` incluant l’indicateur `LIBXML_NOENT`, qui permet la substitution d’entité XML pendant l’analyse. «
Lorsque WordPress traite des fichiers multimédias contenant des métadonnées XML (en particulier des morceaux iXML dans des fichiers WAV/RIFF/AVI), la bibliothèque getID3 analyse le XML avec la substitution d’entité activée, permettant la divulgation de fichiers locaux via les URI du protocole `file://`. Cela peut permettre à des attaquants authentifiés disposant d’un accès au niveau de l’auteur de lire des fichiers arbitraires sur le serveur.
Voici la liste complète des dix vulnérabilités :
- Un problème aveugle de SSRF
- Une faiblesse de la chaîne PoP dans l’API HTML et le registre de blocs
- Une faiblesse du DoS regex dans les références de caractères numériques
- Un XSS stocké dans les menus de navigation
- Un contournement d’autorisation de pièces jointes de requête AJAX
- Un XSS stocké via la directive data-wp-bind
- Un XSS qui permet de remplacer les modèles côté client dans la zone d’administration
- Un problème de traversée du chemin PclZip
- Un contournement d’autorisation sur la fonctionnalité Notes
- Un XXE dans la bibliothèque externe getID3
Recommandations
On ne sait pas quelle est la gravité des six autres vulnérabilités, bien que celles décrites par Wordfence n’aient été évaluées qu’à un niveau de gravité moyen et nécessitaient qu’un attaquant atteigne d’abord un rôle d’utilisateur. Néanmoins, WordPress recommande que les éditeurs de sites mettent à jour leurs sites immédiatement.
Image en vedette par Shutterstock/Qui est Danny
Commentaires