Digest de sécurité Linode du 8 au 15 mai 2023

Dans le digest de cette semaine, nous aborderons les points suivants :

• Une vulnérabilité XSS dans un plugin WordPress très populaire, Advanced Custom Fields ;
• Vulnérabilité XSS de cPanel ; et
• Une vulnérabilité potentielle d'exposition à l'information dans Flask

CVE-2023-30777 : Plugin WordPress Advanced Custom Fields (ACF) et ACF Pro : XSS non authentifié 

Contexte

Advanced Custom Fields (ACF) et ACF Pro, respectivement la version gratuite et la version pro du plugin ACF, est un plugin WordPress très populaire qui compte plus de deux millions d'installations actives. Ce plugin permet d'ajouter et de gérer facilement des champs de contenu dans l'écran d'édition de WordPress. Vous pouvez lire ici comment vous pouvez créer votre propre site web WordPress sur une Linode Compute Instance.

Vulnérabilité

La vulnérabilité répertoriée sous le nom de CVE-2023-30777 existe dans les versions 6.1.5 et inférieures des plugins ACF et ACF Pro. Il s'agit d'une vulnérabilité XSS réfléchie qui permet à un attaquant d'injecter des scripts malveillants sur des sites web vulnérables en incitant un utilisateur à visiter une URL conçue à cet effet. Si la victime est un utilisateur privilégié, l'attaquant peut potentiellement voler des informations sensibles telles que des cookies ou des jetons de session et élever ses privilèges.

La vulnérabilité réside dans le gestionnaire de fonction admin_body_class qui n'analyse pas correctement les données d'entrée de l'utilisateur qui sont transmises à une variable. Cela permet à un attaquant de concaténer directement du code nuisible, tel qu'une charge utile DOM XSS, à la variable, qui contient la chaîne de la classe de corps.

Atténuation

• Cette vulnérabilité a été corrigée dans la version 6.1.6 du plugin. Il est fortement recommandé de mettre à jour le plugin vers la dernière version.

CVE-2023-29489 : cPanel : XSS sur la page d'erreur cpsrvd via un appel Web invalide

Contexte

cPanel est un panneau de contrôle d'hébergement web très répandu, utilisé par les propriétaires de sites web, les administrateurs et les fournisseurs d'hébergement pour gérer et contrôler divers aspects de leurs sites web et de leurs comptes d'hébergement. Il fournit une interface graphique basée sur Linux qui permet aux utilisateurs de gérer facilement les fichiers de leur site web, de créer des comptes de messagerie, de configurer des bases de données, d'installer des applications, de gérer des domaines et des sous-domaines et d'effectuer diverses autres tâches administratives.

Vulnérabilité

La vulnérabilité répertoriée sous le nom de CVE-2023-29489 est un XSS réfléchi présent dans les versions de cPanel antérieures à 11.109.9999.116. La vulnérabilité survient lorsqu'un appel web invalide est appelé avec son ID contenant un contenu XSS. La vulnérabilité est présente dans le binaire cpsrvd, qui fournit les fonctionnalités de base de cPanel. Il effectue une validation incorrecte du contenu fourni par l'utilisateur dans la page d'erreur cpsrvd. Une attaque XSS est déclenchée lorsque la page d'erreur contient un contenu XSS. Cette vulnérabilité ne nécessite aucune authentification et affecte même les ports de gestion qui ne sont pas exposés à l'extérieur.

Atténuation

• La vulnérabilité a été corrigée dans les versions 11.109.9999.116, 11.108.0.13, 11.106.0.18 et 11.102.0.31. Il est recommandé d'effectuer une mise à jour vers ces versions pour corriger ce problème.

CVE-2023-30861 : Flask : Exposition potentielle à l'information d'un cookie de session permanent

Contexte

Flask est un cadre d'application web léger écrit en Python. Il offre un moyen simple et flexible de créer des applications web en tirant parti du langage de programmation Python . Il met l'accent sur la simplicité et l'extensibilité en n'imposant aucune manière particulière de structurer une application. Flask dispose également d'un riche écosystème d'extensions permettant aux développeurs de choisir les composants dont ils ont besoin pour leur projet.

Vulnérabilité

La vulnérabilité est répertoriée sous le nom de CVE-2023-30861. Les versions concernées des paquets Flask sont les versions 2.3.0, 2.3.1, et 2.2.4 et inférieures. Il s'agit d'une vulnérabilité potentielle d'exposition d'informations où une réponse contenant des données destinées à un client peut être mise en cache par un proxy et envoyée à un autre client. En fonction de la manière dont le proxy gère les cookies, il peut également envoyer des cookies de session à un client involontaire. La vulnérabilité exige que certaines conditions soient remplies :

1. Le proxy de mise en cache placé devant l'application web Flask ne supprime pas les cookies et n'ignore pas les réponses contenant des cookies.
2. L'application web attribue la valeur True au champ session.permanent.
3. L'application web n'accède pas à la session et ne la modifie à aucun moment au cours d'une requête.
4. SESSION_REFRESH_EACH_REQUEST est activé, ce qui est le paramètre par défaut.
5. L'application web ne définit pas d'en-tête Cache-Control pour spécifier que la page ne doit pas être mise en cache.
6. Si le proxy met également en cache les en-têtes Set-Cookie, il peut également envoyer le cookie de session d'un client à un client involontaire.

Cette vulnérabilité est due au fait que les versions vulnérables de Flask ne définissent pas l'en-tête Vary : Cookie lorsque la session est rafraîchie sans avoir été accédée ou modifiée.

Atténuation

• Cette vulnérabilité a été corrigée dans les versions 2.2.5 et 2.3.2 du paquet Flask. Il est recommandé de mettre à jour vers ces versions.