Vulnérabilité du plug-in WordPress dans le kit de site Google


Une vulnérabilité a été découverte dans le plugin WordPress Site Kit de Google et corrigée par la suite.

Cette vulnérabilité permet à un attaquant d’augmenter les privilèges du site et d’attaquer la visibilité de recherche d’une victime, de modifier les plans du site et bien plus encore.

Vulnérabilité du kit de site Google Google Site Kit est un plugin WordPress qui affiche les données Google AdSense, Analytics et GSC dans la zone d’administration WordPress.

Plugin WordPress pour Google Site Kit

La vulnérabilité affecte Site Kit by Google. Google Site Kit est un Google WordPress.

Google Site Kit affiche des informations sur votre site dans le tableau de bord d’administration WordPress. Il regroupe les informations de Google Search Console (GSC), Google Analytics, AdSense, Page Speed ​​Insights et d’autres outils Google.

Les chercheurs de WordFence (@wordfence) a découvert la vulnérabilité, a informé Google, puis a publié une annonce après la mise à jour du plugin.

Selon l’annonce:

« Ceci est considéré comme un problème de sécurité critique qui pourrait conduire les attaquants à obtenir l’accès propriétaire à votre site dans Google Search Console.

L’accès du propriétaire permet à un attaquant de modifier les sitemaps, de supprimer des pages des pages de résultats des moteurs de recherche Google (SERP) ou de faciliter les campagnes de référencement Black Hat. »

Vulnérabilité d’escalade de privilèges

La vulnérabilité affectant Google Site Kit est un exploit Escalade de privilèges. Ce type d’exploit nécessite qu’un attaquant soit enregistré sur le site WordPress (par exemple, en tant qu’abonné) afin de profiter d’une faille de sécurité.

Habituellement, un utilisateur enregistré au niveau de l’abonné dispose de privilèges minimaux sur un site Web. La vulnérabilité permet cependant à un attaquant d’obtenir des privilèges de site de niveau administrateur, pour augmenter ses privilèges d’accès au site.

La vulnérabilité a été découverte par la chercheuse en sécurité de WordFence Chloe Chamberland le 21 avril 2020 et signalée à Google le même jour. Un patch a été émis par Google le 7 mai 2020

Selon Chloe Chamberland, chercheuse sur la vulnérabilité dans WordFence:

« La connexion de deux systèmes, comme un site WordPress et les outils de propriété de Google, comporte toujours un certain degré de risque. Il est extrêmement important de garantir l’intégration entre les deux systèmes.

Lorsque des entreprises comme Google ont mis en place une politique de divulgation des vulnérabilités facile à trouver, cela aide les chercheurs à trouver rapidement des correctifs pour les utilisateurs finaux.
À mesure que l’espace grandit, nous voyons de plus en plus de développeurs publier des politiques claires de divulgation des vulnérabilités, mais il reste encore beaucoup à faire pour que les chercheurs et les développeurs en sécurité puissent se connecter rapidement et rendre le Web plus sûr pour nous tous. « 

PUBLICITÉ

CONTINUER À LIRE CI-DESSOUS

Les abonnés au plugin de sécurité WordFence Premium auraient été protégés contre cet exploit le jour même de sa découverte, des semaines avant la publication du correctif par Google.

Versions du kit de site Google affectées

Cette vulnérabilité affecte les versions de Google Site Kit inférieures à la version 1.8.0.

Google Site Kit 1.8.0 a été entièrement corrigé. Il est fortement recommandé aux utilisateurs de mettre à jour leur plugin immédiatement.

Vulnérabilité liée au plug-in de Google Site Kit

Le changelog du plugin WordPress Site Kit de Google indique clairement que la version 1.8.0 comporte une mise à jour de sécurité et recommande vivement aux utilisateurs de mettre à jour.

Lisez l’annonce officielle:

Une vulnérabilité dans le plug-in Google WordPress permet à l’attaquant d’accéder à la console de recherche



Posted on 14 mai 2020 in Blog

Share the Story

Back to Top