XSS stocké par un contributeur authentifié dans Post Flagger (≤1.1) : Risque, Détection et Atténuation Rapide

Du point de vue d'un praticien de la sécurité à Hong Kong : Les versions de Post Flagger jusqu'à et y compris 1.1 contiennent un problème de Cross‑Site Scripting (XSS) lié au shortcode identifiant attribut. Un contributeur authentifié peut stocker une charge utile qui s'exécutera lorsqu'elle sera rendue à d'autres utilisateurs. Cet avis décrit le risque technique, les chemins d'exploitation réalistes, les méthodes de détection, les atténuations immédiates et les corrections à long terme pour les développeurs en termes concis et opérationnels.

Résumé court (ce qui s'est passé)

• Plugin : Drapeau de publication
• Versions affectées : ≤ 1.1
• Vulnérabilité : Cross‑Site Scripting (XSS) stocké via un attribut de shortcode identifiant
• Privilège requis : Contributeur authentifié (ou supérieur)
• Impact : XSS stocké s'exécutant dans le navigateur des visiteurs ou des utilisateurs privilégiés ; les risques incluent le vol de session, la défiguration persistante ou l'ingénierie sociale ciblée sur les administrateurs
• CVE : CVE‑2026‑1854
• Action immédiate : Mettez à jour le plugin lorsqu'un correctif est disponible ; sinon, appliquez les atténuations à court terme énumérées ci-dessous

Pourquoi le XSS stocké est important dans WordPress

L'XSS stocké persiste sur le serveur (base de données, méta de publication, contenu de publication) et s'exécute lorsqu'il est consulté. Les sites WordPress hébergent plusieurs niveaux de privilèges (administrateurs, éditeurs, contributeurs) et acceptent souvent du contenu d'utilisateurs semi-fiables. Même un rôle de Contributeur est suffisant pour les attaquants dans de nombreux flux de travail éditoriaux.

Objectifs courants des attaquants :

• Voler des cookies ou des jetons d'authentification (détournement de session).
• Effectuer des actions administratives en enchaînant des flux similaires à CSRF.
• Installer des portes dérobées via l'ingénierie sociale des utilisateurs privilégiés.
• Injecter du spam persistant ou du JS qui nuit aux visiteurs et au SEO.

Les shortcodes produisent fréquemment du HTML ou du JS ; tout attribut non fiable doit être validé et échappé.

Détails techniques (niveau élevé, responsable)

Le plugin implémente un shortcode qui accepte un identifiant attribue et le sort sans suffisamment de nettoyage ou d'échappement. Un contributeur peut insérer un identifiant containing HTML/JS. When rendered (front end, admin preview, widgets), the payload can execute in the site’s origin.

Flux typique :

1. Le contributeur insère : [post_flagger slug=""]
2. Le plugin stocke l'attribut dans la base de données sans un nettoyage approprié.
3. Lors du rendu, le plugin sort le slug en HTML sans un échappement correct.
4. Le navigateur exécute le script injecté dans le contexte du site.

La cause profonde : nettoyage d'entrée insuffisant et/ou encodage de sortie incorrect pour l'attribut et le contexte de rendu.

Scénarios d'exploitation (réalistes)

• Scénario A : Le contributeur place la charge utile dans un post ; un éditeur/admin ouvre le post dans l'éditeur admin ou l'aperçu et le script s'exécute, permettant le vol de session ou une action admin.
• Scénario B : Payload is visible to public visitors; script executes in visitors’ browsers to perform redirects, fingerprinting, or other malicious actions.
• Scénario C : Ingénierie sociale : la charge utile affiche une fausse modal ou un avis admin pour tromper les utilisateurs privilégiés afin qu'ils prennent des actions destructrices.

L'exploitation nécessite qu'un contributeur crée ou édite du contenu et repose sur d'autres utilisateurs chargeant ce contenu.

Comment vérifier si votre site est vulnérable ou déjà compromis

1. Confirmer que Post Flagger est installé et actif : WP Admin → Plugins, vérifier la version.
2. Rechercher du contenu et des métadonnées pour le shortcode : chercher [post_flagger dans les posts, extraits et postmeta.
3. Exemples WP‑CLI (vérifications en lecture seule) :

wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%[post_flagger%';"

wp search-replace '\[post_flagger' '\[post_flagger' --all-tables --precise --include-columns=post_content

Remarque : la deuxième commande est illustrative ; préférez les requêtes en lecture seule lors de l'enquête.

4. Inspectez identifiant contenus d'attributs pour les balises ou les gestionnaires d'événements : recherchez , onerror=, javascript:, , , angle brackets.
5. Check post revisions for edits by contributor accounts.
6. Review access logs and admin activity around suspicious post publications/previews.
7. Run site scans for injected inline scripts or known XSS indicators.

$slug = isset($atts['slug']) ? sanitize_text_field($atts['slug']) : '';
$slug = sanitize_title($slug);

if ( ! preg_match('/^[a-z0-9-]+$/', $slug) ) {
    $slug = '';
}

function my_plugin_post_flagger_shortcode($atts) {
    $atts = shortcode_atts( array(
        'slug' => '',
    ), $atts, 'post_flagger' );

    $slug = sanitize_text_field( $atts['slug'] );
    $slug = sanitize_title( $slug );

    if ( ! preg_match('/^[a-z0-9-]+$/', $slug) ) {
        return '';
    }

    return '
';
}
add_shortcode('post_flagger', 'my_plugin_post_flagger_shortcode');

SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%[post_flagger%';
SELECT post_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%post_flagger%';

SecRule REQUEST_BODY "@rx \[post_flagger.*slug=.*(<|>|javascript:|on[a-z]+=)" \
  "id:100001,phase:2,deny,log,msg:'Block suspicious post_flagger shortcode slug attribute'"

function my_plugin_post_flagger_shortcode($atts) {
    $atts = shortcode_atts( array(
        'slug' => '',
    ), $atts, 'post_flagger' );

    $slug = sanitize_text_field( $atts['slug'] );
    $slug = sanitize_title( $slug );

    if ( ! preg_match('/^[a-z0-9-]+$/', $slug) ) {
        return '';
    }

    return '
';
}
add_shortcode('post_flagger', 'my_plugin_post_flagger_shortcode');