Blog

Divulgation de vulnérabilité WP WebinarSystem

Notre équipe de recherche en sécurité a découvert une vulnérabilité critique dans le populaire plugin WordPress WP WebinarSystem. En raison d'une faille dans leur code, il est possible pour des attaquants de stocker et d'exécuter du code malveillant sur n'importe quel serveur exécutant ce plugin. Nous recommandons à tous les utilisateurs de mettre à jour immédiatement.

Contenu [ cacher ]

Qu'est-ce que WP WebinarSystem ?
Qu’est-ce que le cross-site scripting stocké ?
WP WebinarSystem Divulgation des vulnérabilités critiques
Quelles versions sont concernées ?
Calendrier de divulgation et de réponse
Mon serveur WordPress a-t-il été affecté ?
Mettez à jour WP WebinarSystem pour protéger votre site

Qu'est-ce que WP WebinarSystem ?

WP WebinarSystem est un plugin WordPress développé par KnockoutSoft Ltd. à des fins de coordination et d'hébergement de webinaires en ligne. Le plugin permet aux utilisateurs de « organiser facilement des webinaires en direct, automatisés, payants et pour les membres sur votre propre site Web WordPress ».

C’est actuellement le plugin de webinaire le plus populaire sur WordPress, avec plus de 40 000 installations actives selon le fabricant. WP WebinarSystem a été publié pour la première fois en août 2015. Il propose des versions payantes et gratuites.

Qu’est-ce que le cross-site scripting stocké ?

Une attaque de script intersite (XSS) stockée se produit lorsqu'une application permet à un script malveillant d'être injecté et exécuté par un site Web ou une application. Les attaques XSS stockées sont définies par le fait que le code malveillant est stocké par l'application vulnérable, devenant ainsi une fonctionnalité persistante qui peut être exécutée encore et encore.

Les attaques XSS stockées sont particulièrement dangereuses, car elles peuvent mettre en danger un large éventail de données utilisateur. En particulier, l’intégralité du DOM du site peut souvent être lue ou modifiée, ainsi que les cookies de session d’un utilisateur.

WP WebinarSystem Divulgation des vulnérabilités critiques

Nos recherches ont montré que la version 1.14 de WP WebinarSystem est vulnérable à une attaque XSS stockée, en raison d'un manque de filtrage dans le champ email du formulaire d'inscription.

Un attaquant peut saisir un code malveillant dans le champ e-mail, qui est ensuite exécuté lorsque le créateur du webinaire parcourt la liste des utilisateurs inscrits au webinaire.

Nous pensons en outre que le code malveillant est exécuté avec les privilèges de l'utilisateur gérant le webinaire, ce qui signifie que les attaquants peuvent voler les cookies de session, leur accordant potentiellement un contrôle total sur le serveur WordPress.

[ct_yt_embed url='https://www.youtube.com/watch?v=RildzXjwdRU']

Nous sommes convaincus qu’il s’agit d’une menace critique et exhortons tous les utilisateurs à mettre immédiatement à jour vers la dernière version de WP WebinarSystem.

Quelles versions sont concernées ?

Toutes les versions antérieures à 1.14 et les versions payantes correspondantes sont concernées par cette vulnérabilité. Si vous êtes un utilisateur gratuit, télécharger une mise à jour depuis le site Web WP WebinarSystem immédiatement. Les utilisateurs payants doivent mettre à jour le plugin depuis leur tableau de bord WordPress.

Calendrier de divulgation et de réponse

Nous avons signalé la vulnérabilité le 6 octobre 2018.
KnockoutSoft Ltd. a répondu au rapport le 7 octobre et nous avons fourni des détails supplémentaires ainsi qu'une vidéo de démonstration.
Une mise à jour de la version gratuite de WP WebinarSystem a été publiée le 10 octobre.
Une mise à jour de la version payante de WP WebinarSystem a été mise en ligne le 20 octobre.
Nous avons publié cette divulgation le 11 décembre.

Comme vous pouvez le constater, KnockoutSoft Ltd. a répondu rapidement à notre divulgation et a publié des mises à jour en temps opportun. Rien n’indique que la vulnérabilité ait été exploitée par des acteurs malveillants entre-temps.

Lorsqu'on nous a demandé de commenter, 'Nous prenons la sécurité très au sérieux et souhaitons remercier Comparitech d'avoir porté ce problème à notre attention.'

Mon serveur WordPress a-t-il été affecté ?

Il est très difficile d’en être sûr. Mais certains des signes avant-coureurs auxquels vous pourriez prêter attention incluent :

Noms impairs ou mal formés dans la liste des participants au webinaire
Avertissements ou notifications indiquant qu'un script inattendu tente d'être exécuté
Accès à partir d'adresses IP inconnues dans vos journaux WordPress

Mais gardez à l’esprit qu’il n’y a peut-être aucun signe. Les pirates peuvent créer un nom d'utilisateur qui provoque l'exécution de code malveillant sans modifier l'apparence du nom dans la liste des participants, sans déclencher d'avertissement concernant les scripts inattendus et sans laisser de trace dans vos journaux d'accès WordPress.

Mettez à jour WP WebinarSystem pour protéger votre site

KnockoutSoft Ltd. a publié une mise à jour pour les utilisateurs payants que vous devez installer via le tableau de bord WordPress. Ils ont également publié une mise à jour de la version gratuite du plugin que vous pouvez télécharger depuis WordPress ici .

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.