Une release SÉCURITÉ, NE TARDEZ PAS À METTRE À JOUR VOS WIKIS !
Correction des 13 failles de sécurité remontées par github cf. les 13 dernières entrées sur https://github.com/YesWiki/yeswiki/security/advisories?state=published.
Voici le résumé de ces soucis de sécurité, (généré par l’ia de google, désolé, j’ai passé 10 jours a tout corriger, plus le temps de détailler avec mon cerveau).
-
GHSA-65p8-9433-jpcp : RCE via SSTI (Administrateur)
Un administrateur peut exploiter une injection de templates côté serveur (SSTI) dans les modèles sémantiques de l’extension Bazar. Cela permet d’exécuter du code PHP arbitraire sur le serveur. -
GHSA-89v6-j5x6-cmj3 : Injection SQL via recentchanges
L’argument period de l’action recentchanges n’est pas correctement filtré, permettant à un attaquant de lire des informations sensibles dans la base de données via une injection SQL. -
GHSA-6x7x-gcmf-7r8x : Suppression de pages non authentifiée
Une vulnérabilité critique dans l’action {{erasespamedcomments}} permet à n’importe quel visiteur (même non connecté) de supprimer arbitrairement des pages du wiki. -
GHSA-mv28-wj57-f57g : Contournement de signature ActivityPub
Une erreur de vérification (acceptation de la valeur -1 par openssl_verify) permet à un attaquant de contourner l’authentification des signatures ActivityPub. -
GHSA-vw42-752g-5mrp : SSRF via ActivityPub
L’utilisation non sécurisée du paramètre Signature.keyId permet à un attaquant de forcer le serveur YesWiki à effectuer des requêtes vers des sites internes ou externes (Server-Side Request Forgery). -
GHSA-8f2v-2qhj-gfwg : Injection SQL de second ordre
Lors de la suppression d’une page via l’API, le nom de la page (tag) n’est pas échappé avant d’être utilisé dans une requête SQL, permettant une injection de « second ordre ». -
GHSA-xc7j-3g8q-9vh4 : XSS stocké dans les formulaires Bazar
Les champs de libellés (label) et d’indices (hint) dans les formulaires Bazar ne sont pas correctement assainis, permettant l’injection de scripts malveillants persistants. -
GHSA-35f3-pg38-486f : XSS réfléchi via le paramètre time
Le paramètre time utilisé pour consulter les archives de révisions d’une page est vulnérable à une attaque par script inter-sites (XSS) réfléchi. -
GHSA-r5xw-gcgw-hwp5 : XSS réfléchi via le paramètre id (Bazar)
Une vulnérabilité XSS réfléchie a été identifiée dans le traitement du paramètre id au sein des widgets de l’extension Bazar. -
GHSA-4pf7-cc4r-g63h : Injection SQL authentifiée (ReactionManager)
Un utilisateur connecté peut exploiter une faille dans le gestionnaire de réactions pour injecter des commandes SQL et accéder à des données non autorisées. -
GHSA-jwvv-qr7q-cv8j : Injection SQL critique non authentifiée
Une faille majeure permet à un utilisateur anonyme d’extraire l’intégralité de la base de données, y compris les emails et les empreintes (hashes) de mots de passe des utilisateurs. -
GHSA-f58v-p6j9-24c2 : Injection SQL via id_fiche
Un utilisateur authentifié peut injecter du code SQL via le paramètre id_fiche lors de l’enregistrement de données dans le module de gestion des entrées. -
GHSA-37fq-47qj-6j5j : XSS aveugle persistant (Bazar)
Une vulnérabilité XSS aveugle (Blind XSS) et persistante existe dans la vue de consultation de l’extension Bazar, permettant d’exécuter du JavaScript dans le navigateur d’autres utilisateurs.