Accueil Technologie KingComposer corrige une faille XSS affectant 100 000 sites WordPress

KingComposer corrige une faille XSS affectant 100 000 sites WordPress

La vulnérabilité pourrait être exploitée pour exécuter des charges utiles malveillantes dans les navigateurs des visiteurs.

Une vulnérabilité de type XSS (reflected cross-site scripting) affectant 100 000 sites web a été corrigée dans le plugin WordPress de KingComposer.

KingComposer est un générateur de pages par glisser-déposer pour les domaines basés sur WordPress qui supprime la nécessité de programmer ou de coder directement les sites web alimentés par le système de gestion de contenu (CMS).

L’équipe de Wordfence Threat Intelligence a découvert le bogue XSS le 25 juin. Enregistré sous le nom de CVE-2020-15299 et ayant obtenu un score de gravité de 6,1, la faille de sécurité a été trouvée dans les fonctions Ajax utilisées par le plugin pour faciliter les fonctionnalités du constructeur de pages.

A lire  Le nouvel assistant vocal de Huawei s'appelle Celia

Une des fonctions Ajax n’était pas en service mais pouvait toujours être lancée en envoyant une requête POST à un script appelé admin-ajax.php avec un paramètre d’action défini à kc_install_online_preset.

La fonction rend JavaScript à travers une variété de paramètres qui sont ensuite décodés en base64.

“Ainsi, si un attaquant utilisait le codage base64 sur une charge utile malveillante, et trompait une victime en lui envoyant une requête contenant cette charge utile dans le paramètre kc-online-preset-data, la charge utile malveillante serait décodée et exécutée dans le navigateur de la victime”, expliquent les chercheurs.

A lire  Un puissant processeur concurrent d'Intel et d'AMD est prêt à secouer le marché pro, et il est français

Les vulnérabilités XSS reflétées reposent sur le fait qu’une victime effectue une action particulière pour déclencher une attaque. Cela peut être réalisé en desservant des liens malveillants sur lesquels il faut cliquer, par exemple, et qui, s’ils réussissent, pourraient conduire à un détournement de session de navigateur ou au téléchargement et à l’exécution de logiciels malveillants.

A lire  Google et Apple s'unissent pour suivre la propagation du coronavirus

L’équipe de Wordfence Threat Intelligence a tenté de contacter les développeurs du plugin un jour après leur découverte. Cependant, il n’y a pas eu de réponse, ce qui a conduit l’équipe à contacter directement l’équipe des plugins WordPress le 25 juin. Le 26 juin, un contact a été pris avec les développeurs de KingComposer et une version corrigée du plugin, la version 2.9.5, a été publiée le 29 juin.

Le problème de sécurité a été résolu en supprimant la fonction Ajax, vulnérable et obsolète.

Au moment de la rédaction du présent document, 62,1 % des utilisateurs ont effectué la mise à jour vers la version 2.9.5, et donc 37,9 % des sites web dont le KingComposer est activé risquent encore d’être exploités.

A lire  Les GAFA demandent à leurs salariés de Seattle de choisir le télétravail à cause du coronavirus
Luciole
Luciole
Luciole, affamée d'informations dans tous les domaines, je suis pigiste ici et passionnée de high tech

les + lus

🚀 No Man’s Sky Gameplay FR – Une planète paradisiaque 01

Gameplay FR, aventure suivie sur No Man's Sky, sur PC. Dans cette vidéo on répare notre premier vaisseau, et on décolle vers une planète...

⚽ FIFA 21 Carrière MANAGER OM – Trop de buts encaissés en LDC #25

Carrière Mnager sur FIFA 21, sur PC, aux commandes de l'Olympique de Marseille. Soutien la chaine https://www.youtube.com/channel/UCRrOYMd9OZDFYOpQLJUh00A/join Youtube - https://www.youtube.com/c/AhTension Lives - https://www.twitch.tv/AhTension Facebook - https://www.facebook.com/ahtensi0n Twitter - https://twitter.com/Ah_Tension #FIFA21...

⚔ L’aventure Breath of The Wild en 4K – Le Combat Final contre Ganon le Fléau 34

Let's play sur The Legend of Zelda Breath of The Wild en 4K et 60 FPS. Soutien la chaine https://www.youtube.com/channel/UCRrOYMd9OZDFYOpQLJUh00A/join Youtube - https://www.youtube.com/c/AhTension Lives - https://www.twitch.tv/AhTension Facebook -...

⚔ L’aventure Breath of The Wild en 4K – Le Mariage – Une affaire en plein essor 33

Let's play sur The Legend of Zelda Breath of The Wild en 4K et 60 FPS. Soutien la chaine https://www.youtube.com/channel/UCRrOYMd9OZDFYOpQLJUh00A/join Youtube - https://www.youtube.com/c/AhTension Lives - https://www.twitch.tv/AhTension Facebook -...

Nous utilisons des cookies pour vous offrir la meilleure expérience en ligne. En acceptant, vous acceptez l'utilisation de cookies conformément à notre politique de confidentialité des cookies.

Paramètres de confidentialité sauvegardés !
Paramètres de confidentialité

Lorsque vous visitez un site Web, il peut stocker ou récupérer des informations sur votre navigateur, principalement sous la forme de cookies. Contrôlez vos services de cookies personnels ici.

Veuillez noter que les cookies essentiels sont indispensables au fonctionnement du site, et qu’ils ne peuvent pas être désactivés.

Pour utiliser ce site Web, nous utilisons les cookies suivant qui sont techniquement nécessaires
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Pour des raisons de performance, nous utilisons Cloudflare en tant que réseau CDN. Cela enregistre un cookie "__cfduid" pour appliquer les paramètres de sécurité par client. Ce cookie est strictement nécessaire pour les fonctionnalités de sécurité de Cloudflare et ne peut pas être désactivé.
  • __cfduid

Refuser tous les services
Accepter tous les services
error: