Il n’est pas rare qu’un plugin WordPress vulnérable mette en danger des sites web. Quand le problème affecte l’un des 20 plugins WordPress les plus populaires, des millions de sites peuvent se trouver exposés à des risques.
Plusieurs plugins populaires ont déjà eu des problèmes au cours des derniers mois. On peut notamment citer All-in-One SEO en février et All-in-One Security en avril, qui ont tous respectivement exposés 3 millions et 1 million de sites WordPress.
Cette fois, la National Vulnerability Database a émis un avis pour un autre plugin WordPress populaire, soit Monster Insights – Google Analytics. Celui-ci s’est révélée contenir une vulnérabilité liée au Cross-Site Scripting (XSS). Ce plugin est déjà installé sur plus de 3 millions de sites WordPress. Cet avis est donc le plus important jusqu’à maintenant en 2023.
Attaque par XSS stocké
Une attaque XSS peut se produire si une partie d’un site web acceptant les entrées des utilisateurs n’est pas sécurisée et permet des entrées imprévues, comme des liens et des scripts. La vulnérabilité XSS peut alors être exploitée pour obtenir un accès non autorisé au site web. Cet accès peut mener à un vol de données ou à une prise de contrôle complète du site.
Le Open Worldwide Application Security Project (OWASP) décrit de manière détaillée le fonctionnement des vulnérabilités XSS :
« Un attaquant peut utiliser XSS pour envoyer un script malveillant à un utilisateur sans méfiance. Le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script ne doit pas être fiable, et exécutera le script. Parce qu’il croit que le script provient d’une source fiable, le script malveillant peut accéder à tous les témoins, jetons de session ou autres renseignements sensibles conservés par le navigateur et utilisés avec ce site. »
Un XSS stocké, qui est sans doute pire, est celui dans lequel le script malveillant est stocké directement sur les serveurs hébergeant le site.
Le plugin MonsterInsights – Google Analytics Dashboard for WordPress, s’est révélé vulnérable à des attaques par XSS stocké.
Vulnérabilité de MonsterInsights – Google Analytics
Le plugin MonsterInsights Google Analytics est installé dans plus de trois millions de sites Web, ce qui rend cette vulnérabilité plus préoccupante.
L’entreprise spécialisée en sécurité WordPress qui a découvert la vulnérabilité, Patchstack, a publié des détails sur le problème:
« Rafie Muhammad (employé de Patchstack) a découvert et signalé cette vulnérabilité Cross Site Scripting (XSS) dans le plugin WordPress Google Analytics by MonsterInsights. Cela pourrait permettre à un acteur malveillant d’injecter des scripts malveillants, tels que des redirections, des publicités et d’autres charges utiles HTML dans votre site Web qui sera exécuté lorsque les invités visitent votre site. Cette vulnérabilité a été corrigée dans la version 8.14.1. »
Le journal de mises à jour du plugin MonsterInsights sur l’avis offre une explication plutôt vague du patch de sécurité:
« Correction : Nous avons corrigé une erreur d’avertissement PHP et ajouté un durcissement de sécurité supplémentaire. »
Un « renforcement de la sécurité » est un terme assez générique. Il peut s’appliquer à une foule de tâches liées à la réduction des vecteurs d’attaque, comme la suppression du numéro de version.
WordPress a publié une page entière de tâches de renforcement de la sécurité, telles que les sauvegardes de bases de données régulières, l’obtention de thèmes et de plugins de sources fiables, et l’utilisation de mots de passe forts.
C’est pourquoi l’utilisation de l’expression « renforcement de la sécurité » est un peu trop vague et générique. On pourrait espérer mieux pour quelque chose d’aussi important et spécifique qu’une vulnérabilité de sécurité XSS. Un tel manque de précision pourrait amener certains utilisateurs à reporter la mise à jour, quand elle devrait être prioritaire.
Mesure recommandée pour le plugin WordPress vulnérable Monster Insights
Patchstack recommande que tous les utilisateurs du plugin MonsterInsights mettre à jour leur plugin WordPress immédiatement à la dernière version ou au moins la version 8.14.1.
Lisez l’annonce de la National Vulnerability Database des États-Unis :
Lire l’annonce de Patchstack:
Pour conclure sur ce nouveau plugin WordPress vulnérable.
Il n’est pas rare qu’un plugin WordPress s’avère vulnérable ou montre des failles de sécurité. L’enjeu est toutefois plus important quand il expose des millions de sites web à des risques potentiellement importants.
Le problème avec MonsterInsights – Google Analytics est l’un des plus importants du genre depuis le début de l’année. La désinvolture apparente avec laquelle les développeurs ont réglé le problème est donc, d’autant plus décevante. Après tout, des millions de sites se sont trouvés exposés à des attaques potentielles.
Nous espérons que cet article vous a plu et vous a éclairé sur cette dernière menace de sécurité. Si c’est le cas, nous vous invitons à consulter nos autres articles et nos classements des meilleurs hébergeurs web.