Un plugin de création de formulaires extrêmement populaire pour le constructeur de sites Web WordPress (s’ouvre dans un nouvel onglet) avec plus d’un million d’installations est vulnérable à une faille de haute gravité qui pourrait permettre aux acteurs de la menace de prendre le contrôle complet du site Web.
Ninja Forms a récemment publié un nouveau correctif qui, une fois rétro-conçu, incluait une vulnérabilité d’injection de code (s’ouvre dans un nouvel onglet) qui a affecté toutes les versions à partir de 3.0.
Selon Chloe Chamberland, responsable du renseignement sur les menaces de Wordfence, l’exécution de code à distance via la désérialisation permet aux pirates de prendre complètement le contrôle d’un site vulnérable.
Preuve d’abus
« Nous avons découvert une vulnérabilité d’injection de code qui permettait à des attaquants non authentifiés d’appeler un nombre limité de méthodes dans diverses classes Ninja Forms, y compris une méthode qui désérialisait le contenu fourni par l’utilisateur, entraînant l’injection d’objets », a déclaré Chamberland.
« Cela pourrait permettre aux attaquants d’exécuter du code arbitraire (s’ouvre dans un nouvel onglet) ou supprimer des fichiers arbitraires sur des sites où une chaîne POP distincte était présente. »
Pour aggraver les choses, la faille a été observée en train d’être abusée dans la nature, a en outre découvert Wordfence.
Le patch a été poussé de force sur la majorité des sites affectés, BipOrdinateur plus loin trouvé. En regardant les statistiques de téléchargement du correctif, plus de 730 000 sites Web ont déjà été corrigés. Bien que le nombre soit encourageant, il laisse encore des centaines de milliers de sites vulnérables.
Ceux qui utilisent Ninja Forms et ne l’ont pas encore mis à jour doivent appliquer le correctif manuellement, dès que possible. Cela peut être fait à partir du tableau de bord, et les administrateurs doivent s’assurer que leur plugin est mis à jour vers la version 3.6.11.
Ce n’est pas la première fois qu’une faille très grave est découverte dans Ninja Forms. Il y a environ deux ans, toutes les versions du plugin jusqu’à 3.4.24.2 se sont avérées affectées par la vulnérabilité CSRF (Cross-Site Request Forgery). Celui-ci aurait pu être utilisé pour lancer des attaques Stored Cross-Site Scripting (Stored XSS) sur le WordPress de l’utilisateur (s’ouvre dans un nouvel onglet) sites, essentiellement en les prenant en charge.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)