web-dev-qa-db-fra.com

Est-ce que Wordpress est vulnérable à la "falsification de commentaire en commentaire"?

J'ai récemment analysé mon site Wordpress en utilisant le service d'analyse de sécurité de 6scan . Il signalait une vulnérabilité de gravité élevée: "un commentaire Wordpress publiant une contrefaçon".

Détails techniques de 6scan:

  • Le rapport 6scan indique "La vulnérabilité de CSRF dans permet aux utilisateurs malveillants de créer de fausses publications". Il dit que l'URL affectée est /wp-comments-post.php.

  • Lorsque je clique sur le lien du rapport 6scan pour plus de détails techniques, il me dirige vers cette page , qui est une page générique qui fait référence aux vulnérabilités zéro jour ( c'est-à-dire les vulnérabilités révélées à l'équipe Wordpress mais non connues publiquement). Cependant, cette page n'a pas été mise à jour depuis le 17 juillet 2012 (il y a presque un an) et il n'y a aucune mention spécifique de cette vulnérabilité CSRF.

  • Le rapport 6scan suggère également un moyen de résoudre le problème manuellement: il suggère de modifier manuellement wp-comments-post.php pour ajouter du code qui vérifie en gros que $_SERVER[ "HTTP_REFERER" ] correspond à $_SERVER[ "HTTP_Host" ].

J'utilise Wordpress 3.5.1 (actuellement la version la plus récente). Wordpress est-il vraiment vulnérable à une vulnérabilité de type "commentaire de commentaire de message falsifié"? Ou le rapport 6scan est-il faux?

Je sais que les anciennes versions de Wordpress comportaient certaines vulnérabilités CSRF, mais je crois que celles-ci ont été corrigées. Personnellement, je trouve assez crédible la prétention d'une vulnérabilité - mais je pensais pouvoir vérifier auprès des autres.

1
D.W.

Ceci est une fausse alerte. De nombreux "programmes de sécurité" le font. Cela s'appelle FUD .

WordPress ne vérifie pas l'en-tête Referer, car il est souvent vide et les vrais spammeurs envoient de toute façon l'URL du site sous la forme Referer.

Mais tous les champs de commentaires sont nettoyés, ainsi aucun code nuisible ne sera injecté. Installez un plugin anti-spam, et tout va bien. Ce rapport est évidemment faux.

4
fuxia