Deux vulnérabilités de gravité élevée corrigées récemment dans le plugin WordPress Site Builder de SiteOrigin pourraient permettre à un attaquant d’exécuter du code dans le navigateur d’un administrateur de site Web.

Un plugin de création de page, Page Builder by SiteOrigin aide les utilisateurs à créer du contenu basé sur des colonnes qui peut s’adapter aux appareils mobiles, et leur fournit également un support pour les widgets les plus courants. Le plugin a plus d’un million d’installations actives.

Les deux failles de sécurité nouvellement corrigées ont été décrites comme des problèmes de «Cross-Site Request Forgery (CSRF) to Reflected Cross-Site Scripting (XSS)» et les deux présentent un score CVSS de 8,8, selon des chercheurs de la société de sécurité WordPress Defiant .

Le premier bogue a été identifié dans l’éditeur en direct intégré au plugin, qui permet aux utilisateurs de suivre en temps réel les mises à jour apportées au contenu ou aux widgets.

Bien qu’il y ait des vérifications en place pour vérifier que l’utilisateur est dans l’éditeur en direct et que l’utilisateur est autorisé à modifier les publications, le plugin n’a pas inclus de protection nonce pour vérifier si les tentatives de rendu du contenu dans l’éditeur en direct provenaient de sources légitimes ou pas.

Cela a permis à un attaquant de tirer parti de certains des widgets disponibles, tels que le widget «HTML personnalisé», pour injecter du code JavaScript dans une page en direct rendue.

« Si un administrateur de site était amené à accéder à une page d’aperçu en direct spécialement conçue, tout JavaScript malveillant inclus dans le widget » HTML personnalisé « pourrait être exécuté dans le navigateur. Les données associées à un aperçu en direct n’ont jamais été stockées dans la base de données, résultant en un …

Voir la source de cette publication