Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une vulnérabilité zéro-day permet de réinitialiser le mot de passe Admin sur WordPress (CVE-2017-8295)

mai 2017 par deny all

Que s’est-il passé ?
WordPress est l’un des systèmes de gestion de contenu les plus populaires (CMS), utilisé par des milliers d’utilisateurs et de sites Web, en raison de sa flexibilité, de ses fonctionnalités et de son interface facile à utiliser. WordPress est également le premier CMS ciblé par les hackers, avec un retour sur investissement élevé en cas d’attaque réussie, et généralement automatisée.

Des vulnérabilités sur WordPress sont découvertes chaque jour. Aujourd’hui, une vulnérabilité zéro-day permet aux attaquants de réinitialiser le mot de passe des utilisateurs ciblés dans certaines circonstances. La vulnérabilité (CVE-2017-8295) affecte toutes les versions de WordPress, y compris la dernière version 4.7.4.
Détails de la vulnérabilité CVE-2017-8295
Selon Dawid Golunski et TheHackerNews, lors de l’envoi de cet email de réinitialisation du mot de passe, WordPress utilise une variable appelée SERVER_NAME pour obtenir le nom d’hôte d’un serveur pour définir les valeurs des champs From/Return-Path :

Des informations détaillées sur la façon dont cette vulnérabilité peut être exploitée par des personnes malveillantes sont disponibles dans l’article UnPatched WordPress Flaw Could Allow Hackers to Reset Admin Password (TheHackerNews).
Comment remédier à cette vulnérabilité ? Les produits DenyAll sont-ils concernés ?
Heureusement, si vous avez un WAF DenyAll devant votre site WordPress, c’est-à-dire pour les clients de DenyAll Web Application Firewall, DenyAll Web Services Firewall et DenyAll rWeb, vous êtes protégé contre cette vulnérabilité. Par défaut, le reverse proxy intégré à nos WAFs n’accepte pas les hôtes inconnus et bloquera (et enregistrera) les noms des potentiels hôtes inconnus.

La vulnérabilité a été publiquement divulguée et aucun patch n’a été publié par l’équipe de sécurité WordPress. Si vous n’êtes pas équipé d’un pare-feu applicatif Web, nous vous conseillons de mettre à jour votre configuration serveur pour activer “UseCanonicalName” afin de bloquer et maintenir la valeur “static/predefined SERVER_NAME”.

En raison d’un cas urgent, d’un manque d’expertise technique ou de sécurité, je vous invite à visiter CloudProtector.com, un firewall applicatif Web qui vous permet de protéger votre site WordPress en un seul clic au prix d’un forfait mobile. CloudProtector intègre un template de sécurité préétabli pour les sites Web basés sur le CMS WordPress. Un simple changement DNS suffit à vous protéger, pourquoi ne pas essayer l’offre gratuite de 14 jours ?


Voir les articles précédents

    

Voir les articles suivants