Les vulnérabilités découvertes dans deux des plugins de formulaire de contact les plus populaires de WordPress pourraient avoir des répercussions sur plus de 1,1 million d’installations. Il est crucial de comprendre ces vulnérabilités afin de protéger vos sites web et de garantir leur sécurité. Dans cet article, nous allons plonger dans les détails de ces failles de sécurité, explorer leurs impacts potentiels et examiner les mesures que vous pouvez prendre pour les atténuer.
Les plugins concernés
Les deux plugins en question sont les suivants :
- Ninja Forms – avec plus de 800 000 installations.
- Contact Form Plugin by Fluent Forms – avec plus de 300 000 installations.
Ces deux plugins, bien que très populaires et utilisés par une vaste communauté de développeurs WordPress, présentent des failles de sécurité distinctes qui nécessitent une attention immédiate.
Vulnérabilité de Ninja Forms : XSS réfléchi
La première vulnérabilité affecte le plugin Ninja Forms et est due à une défaillance dans l’échappement d’une URL. Cela peut mener à une attaque de type cross-site scripting réfléchi (XSS réfléchi). En termes simples, un attaquant peut exploiter cette faille pour cibler un utilisateur administrateur du site web et obtenir les privilèges associés à ce niveau d’accès. Cependant, pour que cette attaque réussisse, l’attaquant doit amener l’administrateur à cliquer sur un lien spécifique.
Bien que cette vulnérabilité soit encore en cours d’évaluation et n’ait pas encore reçu de score de menace CVSS, il est essentiel de rester vigilant et de mettre à jour le plugin à sa dernière version disponible, actuellement la version 3.8.14.
Insuffisance des contrôles de capacité dans Fluent Forms
Le plugin Contact Form Plugin by Fluent Forms, de son côté, souffre d’une vérification insuffisante des capacités. Cela signifie qu’un attaquant pourrait obtenir une autorisation non autorisée pour modifier une API. Une API, rappelons-le, est un pont entre deux logiciels différents qui leur permet de communiquer.
Cette vulnérabilité nécessite d’abord que l’attaquant dispose d’une autorisation au niveau d’un abonné, ce qui est possible sur les sites WordPress ayant activé la fonctionnalité d’inscription des abonnés. Heureusement, pour les sites n’ayant pas cette fonctionnalité activée, cette faille n’est pas exploitable. Cette vulnérabilité a reçu un score de menace moyen de 4,2 sur 10.
Exploitation possible : API Mailchimp manipulée
La description de cette vulnérabilité par Wordfence est particulièrement inquiétante. Le plugin Fluent Forms peut permettre à un gestionnaire de formulaire possédant un accès de niveau Abonné (et au-dessus) de modifier la clé API de Mailchimp utilisée pour l’intégration. De plus, l’absence de validation de la clé API Mailchimp permettrait de rediriger les requêtes d’intégration vers un serveur contrôlé par l’attaquant.
En d’autres termes, un attaquant pourrait potentiellement détourner les données destinées à Mailchimp et les rediriger vers une destination de son choix, compromettant ainsi la sécurité des informations de vos utilisateurs.
Actions recommandées
Face à cette situation, il est impératif de prendre des mesures immédiates pour sécuriser vos sites. Voici ce que vous devez faire :
- Mettez à jour le plugin Fluent Forms à sa version la plus récente, actuellement la version 5.2.0.
- Mettez à jour le plugin Ninja Forms à sa version 3.8.14.
- Vérifiez les paramètres de votre site pour vous assurer que les inscriptions d’abonnés non nécessaires sont désactivées.
- Surveillez attentivement les notifications et les mises à jour de sécurité des plugins que vous utilisez.
En prenant ces mesures, vous pouvez contribuer à protéger vos sites contre des attaques potentielles et assurer la sécurité de vos données et celles de vos utilisateurs.
Réflexions finales
Ces vulnérabilités nous rappellent l’importance cruciale de maintenir tous les composants de notre site web à jour et sécurisés. Que vous soyez développeur, administrateur ou propriétaire de site, il est impératif de rester vigilant et de réagir rapidement aux avis de sécurité. Souvenez-vous, la sécurité de votre site web et la confiance de vos utilisateurs en dépendent. Ne laissez pas une faille de sécurité compromettre tout le travail acharné que vous avez investi dans votre présence en ligne.
