PictPocket v1.4.2
PictPocket
Description rapide
Partenaire
Cette extension a été testée par Geekeries.fr, retrouvez le test ici.
Description des vulnérabilités
Les vulnérabilités ici sont graves car un pirate peut non seulement forger un lien pour exploiter l’XSS pour dérober vos informations de connexions par exemple, mais en plus, la faille Blind SQLi lui permet, à l’aveugle, de connaitre le contenu de votre base de données ! Pire encore, la CSRF permet de modifier la configuration du plugin, écrire dans le .htaccess, et une autre faille permet de lire le contenu des fichiers .php en clair comme un .txt !
Solution
Il est impératif de ne pas utiliser cette extension dans sa version 1.4.2, le risque de piratage est énorme !
Ca se ressemble ...
-
GD Star Rating v1.9.10
20 juillet 2011
-
Lightbox v2.9.2
20 mai 2011
-
WP Plugin Security Check v0.3
30 avril 2011
-
FileBrowser v0.5.5
1 mars 2011
Classé dans ...
Partagez !
Tout le site
Sécurité
Extensions validées
Extensions corrigées
Extensions vulnérables
Codes-sources
Conseils
Merci pour l'info, je viens tout juste de l'installer, très efficace comme plugin, mais à en voir la faille, je lui préfère un filtrage brute par htaccess !
La dernier mise à jour du plugin date de fin 2009 :) j'ai pas les compétences nécéssaires pour le corriger, et l'auteur (Semageek) dit dans les commentaires qu'il galère un peu niveau temps pour le tenir à jour :/
Merci pour l'avertissement en tout cas ;)
Bonjour
Juste pour info la faille a été corrigée depuis la rédaction de cet article ;)
Ou pas ! ;)
Je viens de re-tester avec la 1.4.2 pour être sûr et d’autres failles sont présentes, et bien aussi graves qu’une SQLi.
Je ne divulgue pas encore car c’est vraiment très grave (je peux lire le contenu d’un fichier .php comme un .txt, merci le wp-config.php … ).
Mais l’auteur n’a pas désiré corriger ces failles, je vais le relancer puis divulguer ces failles au 01/09/11, un an après la découverte, c’est plutôt correct non ? ;)
Merci tout de même !
ps : je recommande de supprimer cette extension dans l’état actuel !
un plugin inutile comportant des failles , super !!! ( les images doivent être bloquées dans le htaccess , de nombreux tuto existent un peu partout )
Un plugin inutile ???
CERTAINEMENT PAS pour un photographe car le tracking des hotlinks est là AUTOMATIQUE.
Ceci étant dit, c’est bien d’indiquer les failles mais où trouver les infos pour les corriger ?…
Le plugin le fait dans le .htaccess, mais tout le monde ne sait pas le faire ou tout le monde ne sait pas modifier ce fichier.
Le plugin permet donc via une interface simple d’autoriser certains sites, voir qui fait du hotlink etc.
Le .htaccess ne permets pas ça.
Ici sur le site et article « officiel » du créateur du plugin :
http://www.semageek.com/pictpocket-un-plugin-wp-qui-identifie-et-bloque-les-voleurs-de-contenu/#comment-300215429
Je lui envoie le détail des failles pour qu’il puisse corriger, ça fait 4 à 5 mois de ça.
Maintenant, le délai « correct » de correction est dépassé à mes yeux donc il FAUT informer ses utilisateurs que le site qui install ça peut se faire retourner en 1mn chrono.