Des chercheurs en sécurité ont découvert une vulnérabilité de script intersite stocké (XSS) dans Microweber, un constructeur de site Web open source et un système de gestion de contenu (CMS).
Le problème de sécurité, découvert par les chercheurs James Yeung et Bozhidar Slaveykov, et suivi comme CVE-2022-0930a été résolu dans la version 1.2.12 de Microweber.
Le problème est survenu en raison de lacunes dans les protections de filtrage de contenu offertes par les versions antérieures de Microweber.
Ces lacunes signifiaient qu’il était possible pour les attaquants de télécharger une charge utile XSS, à condition qu’elle contienne un fichier dont le nom se terminait par « html » – une catégorie qui comprend bien plus que de simples .html des dossiers.
Une fois cette charge utile téléchargée, une URL contenant du code HTML malveillant peut être consultée et un code JavaScript malveillant peut être exécuté.
En contrôlant un script exécuté dans le navigateur de la victime, il serait possible pour un attaquant de voler des cookies avant de se faire passer pour une victime, potentiellement l’administrateur d’un système compromis.
L’attaque est expliquée plus en profondeur dans un article de blog technique – mettant en vedette un exploit de preuve de concept – mis en place par Yeung et Slaveykov.
La gorgée quotidienne a invité Microweber à commenter les conclusions des chercheurs via un message envoyé via un formulaire Web sur son site Web. En réponse, Microweber a confirmé que le « problème est déjà résolu ».
Lorsqu’on leur a demandé comment ils avaient rencontré Microweber comme cible, Yeung a répondu La gorgée quotidienne: « Je suis tombé sur huntr.dev et j’ai découvert que d’autres chercheurs avaient trouvé des vulnérabilités sur Microweber et c’est pourquoi j’ai rejoint cette manie ! »
Les vulnérabilités découvertes dans Microweber sont typiques de celles trouvées dans d’autres progiciels d’entreprise comparables, selon Yeung.
« J’ai trouvé des vulnérabilités similaires dans plusieurs CMS comme Microweber, et j’ai constaté que la plupart d’entre eux manquaient de désinfection des entrées utilisateur à partir des requêtes HTTP (dont certaines ne sont pas destinées à être soumises par le client) », a expliqué le chercheur.
Yeung a conclu que les développeurs devraient s’orienter vers l’utilisation de listes autorisées et s’éloigner de l’utilisation de listes de blocage comme moyen de minimiser les problèmes dans ce domaine.