Une faille XSS dans le logiciel open source SPIP
SPIP est un CMS (Logiciel de gestion de contenu) pour créer son site web. C'est un logiciel français et open source, particulièrement tourné vers le fonctionnement collectif et le multilinguisme. Dans son bulletin CERTFR-2024-AVI-0028, le CERT-FR nous informe d'une faille XSS dans certaines version de SPIP.
SPIP : Un CMS français
SPIP est un CMS français qui se distingue de WordPress par son orientation
vers la collaboration, offrant des niveaux d'accès spécifiques pour une
gestion efficace des contenus en équipe. Sa flexibilité est renforcée
par la personnalisation avancée des boucles, permettant une adaptation
précise de la présentation des données. Avec un modèle éditorial
structuré en rubriques, articles et brèves, SPIP facilite la navigation
et la hiérarchisation des informations, adapté notamment pour les sites
web complexes. SPIP intègre nativement des fonctionnalités multilingues,
et répond ainsi aux besoins des projets internationaux. Son engagement
envers la protection de la vie privée, sa légèreté et son optimisation
pour les performances en font une option intéressante, tout en
bénéficiant d'une communauté francophone active.
Une faille XSS dans spip
Le CERT-FR indique la présence d'une faille XSS dans les versions 4.2.x antérieures à la 4.2.8 et 4.1.x antérieures à la 4.1.14. Il s'agit d'un risque d'attaque par injection de code indirect à distance. C'est une technique d'attaque dans laquelle un attaquant injecte du code malveillant dans une application web, dans le cas présent, c'est SPIP. L'objectif principal de cette attaque est d'exécuter du code, côté client dans le navigateur web d'un utilisateur, souvent à son insu.
Dans son bulletin d'information, l'équipe de développement de SPIP détaille le contenu de la mise à jour de sécurité. Pour les version 4.2.x, elle contient en plus des corrections de bugs. Pour les version 4.1.x, il est précisé que seul le correctif de cybersécurité est ajouté.
Neutraliser une injection XSS 0day
Les attaques par injections XSS sont dans le TOP 10 OWASP (Open Web Application Security Projet) et sont donc des types d'attaques courantes. L’une des exploitations des XSS les plus utiles pour un pirate est l’injection de code JavaScript dans la page HTML afin de voler le cookie de session de la victime, permettant alors de se connecter à l’application web en se faisant passer pour la victime. Mais il est possible de faire d'autres choses en exploitant une faille XSS comme modifier le contenu d’une page HTML ou bien prendre le contrôle du navigateur de la victime.
Bien qu'il soit recommandé de mettre à jour votre version de SPIP au plus vite, la faille était bien présente avant que vous n'en ayez connaissance et pouvait donc être exploitée. Il est cependant possible de s'en protéger, car c'est un type d'attaque plutôt bien connu. En mettant en service un WAF, Web Application Firewall, tel que ProtectMy.site, les tentatives d'exploitation des failles XSS sont bloquées avant d'atteindre votre site web sous SPIP.