Résumé

• Vulnérabilité : XSS (cross-site scripting) stocké authentifié (Administrateur).
• Logiciel affecté : AMP Enhancer — Couche de compatibilité pour le plugin AMP officiel, versions ≤1.0.49.
• CVE : CVE-2026-2027
• Gravité : Moyenne (évaluation du mainteneur CVSS 5.9). L'impact dans le monde réel dépend de l'accès de l'attaquant à un compte administrateur.
• Prérequis d'exploitation : Privilèges d'administrateur sur le site (ou convaincre un administrateur de sauvegarder un CSS malveillant).
• Atténuations immédiates : désactiver ou supprimer le plugin ; inspecter et assainir le paramètre stocké dans la base de données ; restreindre les comptes administrateurs ; appliquer des patches virtuels / règles WAF pour bloquer les charges utiles CSS malveillantes tout en préparant un nettoyage complet.
• Récupération : Si un compromis est suspecté, isoler le site, faire tourner les identifiants, scanner et supprimer le contenu injecté, et restaurer à partir d'une sauvegarde propre si nécessaire.

Pourquoi cet XSS stocké est important — même avec des exigences uniquement administratives

Bien que l'exploitation nécessite qu'un administrateur sauvegarde la charge utile, la surface d'attaque reste significative :

• Des identifiants administratifs volés ou phishés permettent un point d'accès persistant via XSS stocké.
• Des entrepreneurs malveillants ou des initiés avec accès administrateur peuvent intentionnellement injecter des charges utiles.
• L'ingénierie sociale peut tromper un administrateur en le faisant coller un CSS apparemment légitime contenant des charges utiles cachées.

Les conséquences possibles incluent le vol de session, les redirections sur l'ensemble du site, le poisoning SEO, l'injection de scripts backdoor, et des dommages à la réputation. Comme la charge utile est stockée dans une configuration et servie sur l'ensemble du site, une seule injection réussie peut affecter chaque visiteur et administrateur qui charge des pages affectées.

Comment le problème fonctionne (aperçu technique)

1. Le plugin fournit un paramètre “AMP Custom CSS” où les administrateurs peuvent entrer du CSS pour les pages AMP.
2. Le paramètre est conservé dans la base de données et ensuite renvoyé dans le balisage de la page pour la sortie AMP.
3. Une sanitation insuffisante permet une entrée qui peut être interprétée par le navigateur comme exécutable ou capable de sortir du contexte CSS (par exemple, des constructions qui ferment un bloc de style ou introduisent du HTML).
4. Comme le contenu est stocké et affiché aux visiteurs, le XSS est persistant (stocké) et s'exécute lors des vues de page suivantes.

Remarque : les navigateurs modernes et les bizarreries héritées peuvent transformer des séquences inattendues en actions exécutables lorsque des données contrôlées par l'utilisateur sont affichées sans encodage sécurisé.

Scénarios d'exploitation réalistes

• Identifiants d'administrateur volés : l'attaquant se connecte, colle du contenu malveillant dans le CSS personnalisé AMP, et la charge utile est servie aux visiteurs.
• Ingénierie sociale : l'administrateur est convaincu de coller du “ CSS recommandé ” provenant d'une source non fiable contenant des charges utiles obfusquées.
• Malveillant interne : un employé ou un sous-traitant avec un accès administrateur stocke une charge utile pour voler des données ou saboter le site.

Signes que vous pourriez déjà être affecté

• JavaScript ou fragments HTML en ligne inattendus dans le code source de la page ou à l'intérieur des styles.
• Pages du site redirigeant vers des domaines externes.
• Comportement inhabituel du tableau de bord ou notifications administratives inattendues.
• Nouveaux utilisateurs administrateurs ou inconnus, publications/pages modifiées que vous n'avez pas créées, tâches cron suspectes ou fichiers de base/thème/plugin modifiés.
• Avertissements des moteurs de recherche, mise sur liste noire ou modèles de trafic inhabituels.

Si vous utilisez une version affectée du plugin et remarquez ces signes, supposez un compromis potentiel et suivez immédiatement les étapes de confinement.

Étapes immédiates pour les propriétaires de sites (dans l'ordre)

1. Mettez le site en mode maintenance ou réduisez l'exposition : restreignez temporairement l'accès public pendant l'enquête.
2. Désactivez le plugin AMP Enhancer : la mitigation immédiate la plus simple est de désactiver ou de supprimer le plugin pour empêcher la diffusion de contenu stocké.
3. Inspectez et nettoyez le paramètre CSS personnalisé AMP :
   • Vérifiez l'option du plugin où le CSS personnalisé est stocké (les clés courantes peuvent inclure amp_custom_css ou des noms d'options spécifiques au plugin).
   • Si vous trouvez un contenu inattendu, supprimez-le ou définissez le champ sur une chaîne vide.
   • Exemple WP-CLI : wp option get amp_custom_css et pour effacer : wp option update amp_custom_css ''
   • Exemple d'inspection SQL (toujours faire une sauvegarde d'abord) :

   SELECT option_name, option_value FROM wp_options WHERE option_name LIKE '%amp%' OR option_value LIKE '%javascript:%' OR option_value LIKE '%<script%';

4. Faire tourner les identifiants et verrouiller l'accès admin :
   • Réinitialisez les mots de passe pour tous les comptes administrateurs et imposez des mots de passe forts et uniques.
   • Exiger l'authentification à deux facteurs pour tous les administrateurs lorsque cela est possible.
   • Supprimez ou rétrogradez les utilisateurs administrateurs inconnus.
5. Examinez l'activité récente des administrateurs : vérifiez les journaux d'audit (si disponibles) pour identifier qui a changé les paramètres ; activez la journalisation si elle est absente.
6. Scannez le site pour d'autres indicateurs : effectuez un scan complet du site pour les malwares et inspectez les publications, options, fichiers de thème et téléchargements pour du code injecté.
7. Examinez les sauvegardes : si vous détectez une compromission et ne pouvez pas nettoyer en toute confiance, restaurez à partir d'une sauvegarde connue comme bonne prise avant l'injection.
8. Appliquez un patch virtuel / des règles WAF comme mesure intérimaire : bloquez les charges utiles suspectes d'être enregistrées et empêchez les charges utiles déjà stockées d'atteindre les clients (détails ci-dessous).
9. Surveillez et rescannez régulièrement après le nettoyage pour détecter une réinfection ou des modifications malveillantes répétées.

Trouver l'entrée AMP Custom CSS (WP-CLI et SQL)

Exemples pour aider à localiser des valeurs suspectes (remplacez le préfixe de table si nécessaire) wp_):

# WP-CLI (si vous connaissez le nom de l'option);

Toujours exporter le contenu suspect vers un environnement sûr pour analyse avant de le retirer de la production.

Remédiation sûre du paramètre stocké

• Examiner le CSS pour des constructions dangereuses :
  • url(javascript : motifs
  • expression(...) (IE hérité)
  • -moz-binding ou comportement : propriétés
  • Fragments HTML intégrés comme </style>, <script>, ou gestionnaires d'événements comme onerror=
  • URIs de données avec HTML ou JavaScript (data:text/html;)
• En cas de doute, effacez complètement le champ et réentrez uniquement le CSS minimal, révisé.
• Préférez déplacer le style critique dans des fichiers de thème sous contrôle de version et révisés par un développeur plutôt que de compter sur un CSS saisi par un administrateur non fiable.

Guide du développeur : comment corriger le plugin correctement

Les mainteneurs de plugins doivent utiliser à la fois une validation stricte des entrées et un encodage de sortie sûr :

1. Valider l'entrée au moment de l'enregistrement :
   • Rejeter le HTML arbitraire ou les constructions non valides dans les champs CSS purs.
   • Mettez en œuvre une liste blanche stricte des propriétés CSS et des formats de valeur autorisés plutôt que de vous fier aux listes noires.
   • Bloquez des constructions telles que url(javascript:...), expression(...), -moz-binding, comportement :, et les URI de données qui intègrent du HTML.
2. Assainissez ou échappez à la sortie :
   • Lors de l'écriture de CSS stocké dans une page, assurez-vous qu'il ne peut pas sortir d'un contexte de style. Traitez-le comme du texte brut et échappez les caractères qui pourraient fermer le bloc de style ou commencer le HTML.
   • Utilisez des fonctions d'échappement côté serveur appropriées pour le contenu placé dans <style> blocs.
   • Appliquez toujours des vérifications de capacité (par exemple, current_user_can('gérer_options')) et des nonces sur les formulaires administratifs et les sauvegardes.
3. Utilisez une bibliothèque de désinfection CSS vérifiée ou mettez en œuvre une approche de liste blanche stricte et incluez des tests unitaires pour affirmer le rejet de séquences malveillantes.
4. Ajoutez des tests automatisés et du fuzzing à l'intégration continue pour détecter les régressions et les vecteurs de mutation XSS courants.
5. Documentez comment le CSS personnalisé est traité et avertissez les administrateurs de coller du contenu non fiable.

WAF / patching virtuel (conseils génériques)

Un pare-feu d'application Web (WAF) ou une couche d'inspection des réponses est une atténuation précieuse à court terme en attendant une mise à jour officielle du plugin. Des règles WAF correctement configurées peuvent bloquer les tentatives d'enregistrement de CSS malveillant et empêcher les charges utiles déjà stockées d'atteindre les clients.

Actions utiles pour un WAF ou un filtre de bord :

• Bloquez les requêtes POST qui mettent à jour l'option CSS personnalisée du plugin lorsque les charges utiles contiennent des motifs malveillants clairs (insensible à la casse) : url(javascript :, expression(, -moz-binding, <script, onerror=, ou des URI de données suspectes.
• Inspectez les réponses sortantes et neutralisez ou supprimez les séquences suspectes avant qu'elles n'atteignent les navigateurs.
• Limitez ou bloquez les points de terminaison administratifs provenant d'IP inconnues et alertez sur les tentatives répétées de modifier les paramètres.
• Enregistrez le compte administrateur et l'IP source lorsque des demandes bloquées se produisent pour aider à l'analyse judiciaire.

Exemples de motifs pseudo-regex (à titre d'illustration uniquement — testez soigneusement pour éviter les faux positifs) :

(?i)url\(\s*javascript:

Les règles doivent être ajustées pour éviter de bloquer le CSS légitime (par exemple, légitime url() références aux images). Concentrez-vous sur des constructions qui n'ont pas d'utilisation légitime raisonnable dans le CSS moderne.

Liste de contrôle de récupération (si vous soupçonnez une compromission)

1. Isolez le site (mode maintenance) pour limiter les dommages supplémentaires.
2. Effectuez une sauvegarde complète (base de données + fichiers) pour l'analyse judiciaire.
3. Scannez à la recherche d'artefacts malveillants : options, publications, fichiers de thème/plugin, téléchargements et entrées cron.
4. Supprimez le contenu malveillant : effacez l'option affectée, remplacez les fichiers modifiés par les originaux provenant de sources fiables.
5. Changez les mots de passe administrateurs et réinitialisez les clés API.
6. Auditez les comptes utilisateurs et supprimez les comptes administrateurs inconnus ou inutilisés.
7. Renforcez l'accès administrateur : activez l'authentification à deux facteurs, appliquez des restrictions IP lorsque cela est pratique et minimisez les comptes administrateurs.
8. Restaurer à partir d'une sauvegarde propre si nécessaire.
9. Surveillez le site de manière agressive après le nettoyage pour détecter des signes de réinfection.

Meilleures pratiques de sécurité à long terme pour les propriétaires de sites WordPress

• Minimisez le nombre de comptes administrateurs et utilisez des principes de moindre privilège.
• Appliquez des mots de passe forts et uniques et exigez une authentification à deux facteurs pour les administrateurs.
• Gardez le cœur de WordPress, les thèmes et les plugins à jour ; testez les mises à jour en staging avant la production.
• Supprimez les plugins et thèmes inutilisés ; ne laissez pas les plugins désactivés installés indéfiniment.
• Vérifiez les plugins avant de les installer : vérifiez les mises à jour récentes, les mainteneurs et les retours de la communauté.
• Maintenez des sauvegardes fréquentes et vérifiées stockées hors site et testez régulièrement les restaurations.
• Utilisez un WAF ou une couche d'inspection des réponses dans le cadre des défenses en couches pour les scénarios de jour zéro.
• Activez la journalisation et la surveillance des actions administratives et examinez régulièrement les journaux.
• Mettez en œuvre une politique de sécurité du contenu (CSP) pour réduire l'impact des XSS là où cela est compatible avec les exigences de votre site/AMP.
• Effectuez des audits de sécurité réguliers et des revues de code pour le code personnalisé.

En-têtes de sécurité HTTP recommandés

• Content-Security-Policy (CSP) — un CSP strict peut limiter où les scripts/styles sont chargés. Testez soigneusement avec AMP.
• X-Content-Type-Options : nosniff
• X-Frame-Options : SAMEORIGIN (ou DENY lorsque cela est approprié)
• Referrer-Policy : no-referrer-when-downgrade (ou plus strict)
• Strict-Transport-Security : max-age=31536000 ; includeSubDomains ; preload (si vous utilisez HTTPS)

Testez soigneusement les en-têtes pour éviter de casser la fonctionnalité du site ou les contraintes AMP.

Requêtes de détection et analyses

Utilisez ces requêtes comme points de départ pour rechercher des indicateurs CSS stockés et XSS suspects (remplacez le préfixe de table si nécessaire) :

SELECT option_name, option_value;

Combinez les scanners automatisés avec une inspection manuelle ; les outils automatisés peuvent manquer des charges utiles obfusquées ou générer des faux positifs.

Commandes administratives pratiques (copier-coller)

# Sauvegardez d'abord la base de données et les fichiers (toujours)'

Prenez toujours une sauvegarde avant d'exécuter des opérations de mise à jour ou de suppression sur la base de données.

Liste de contrôle finale (actionnable)

• Désactivez temporairement ou supprimez le plugin AMP Enhancer (≤1.0.49).
• Sauvegardez le site (fichiers + base de données).
• Inspectez et, si nécessaire, effacez le paramètre CSS personnalisé AMP de la base de données.
• Réinitialisez les mots de passe administratifs et exigez une authentification à deux facteurs pour tous les administrateurs.
• Scannez le site pour des scripts injectés, des fichiers modifiés et des tâches planifiées suspectes.
• Appliquez des règles de patch virtuel WAF bloquant les constructions CSS dangereuses et les modèles d'injection sortants.
• Surveillez les événements bloqués et les journaux d'audit pour des tentatives récurrentes.
• Mettez à jour le plugin immédiatement lorsqu'une version corrigée est publiée et testez-le d'abord en préproduction.
• Renforcez l'accès administrateur (restriction IP, mots de passe forts, moins de comptes administratifs).
• Envisagez de déplacer le CSS critique vers des fichiers de thème sous contrôle de version après révision de code et assurance qualité.

Réflexions finales

Le XSS stocké dans des fonctionnalités destinées aux administrateurs, comme un champ “ CSS personnalisé ”, démontre comment la commodité peut introduire des risques. La bonne approche est stratifiée : supprimer ou limiter le plugin vulnérable, nettoyer et sécuriser le site, et utiliser l'inspection des réponses ou des règles WAF comme contrôle temporaire pendant qu'un correctif permanent est appliqué.

Si vous gérez plusieurs sites ou ne pouvez pas tolérer de temps d'arrêt pendant le nettoyage, envisagez de faire appel à un professionnel de la sécurité qualifié pour mettre en œuvre un patch virtuel, effectuer un nettoyage sur mesure et préparer un plan de remédiation.

Si vous souhaitez un plan de remédiation sur mesure (commandes étape par étape, un script de recherche et de nettoyage, et un ensemble de règles WAF recommandé adapté à votre environnement), répondez en indiquant si vous êtes hébergé sur un hébergement partagé, WordPress géré, ou si vous avez un accès root/serveur, et je préparerai un plan.

— Expert en sécurité de Hong Kong