Actualités Informatique

Attention ! Les pirates peuvent voler vos données grâce à une faille dans le plugin WordPress Ninja Forms !

Par Jean-Luc Pircard , le septembre 26, 2023 - 3 minutes de lecture
Notez-moi

Les utilisateurs du plugin WordPress Ninja Forms doivent être conscients de trois vulnérabilités qui ont été découvertes récemment. Ces vulnérabilités pourraient permettre à des attaquants de réaliser une escalade des privilèges et de voler des données utilisateur. Les chercheurs de Patchstack ont identifié ces vulnérabilités et les ont signalées au développeur du plugin, Saturday Drive, le 22 juin 2023. Ils ont souligné que les versions 3.6.25 et antérieures de NinjaForms sont affectées.

Le développeur a publié une mise à jour, la version 3.6.26, le 4 juillet 2023 pour corriger ces vulnérabilités. Cependant, il est préoccupant de constater que seulement la moitié des utilisateurs de NinjaForms ont téléchargé cette dernière version. Cela signifie que près de 400 000 sites web restent vulnérables aux attaques.

Les vulnérabilités identifiées

La première vulnérabilité, connue sous le nom de 2CVE-2023-37979, est une faille XSS (cross-site scripting) réfléchie basée sur POST. Elle permet à des utilisateurs non authentifiés d’élever leurs privilèges et de voler des informations en incitant des utilisateurs privilégiés à visiter une page web spécialement conçue.

Les deuxième et troisième vulnérabilités, nommées CVE-2023-38393 et CVE-2023-38386 respectivement, concernent des problèmes de contrôle d’accès dans la fonction d’exportation des soumissions de formulaire du plugin. Ces vulnérabilités permettent aux abonnés et aux contributeurs d’exporter toutes les données soumises par les utilisateurs sur le site WordPress concerné.

Il est important de noter que bien que ces vulnérabilités soient classées comme étant de haute sévérité, la CVE-2023-38393 est particulièrement dangereuse car il est facile pour un utilisateur du rôle d’Abonné de l’exploiter.

Tout site web qui permet les inscriptions de membres et d’utilisateurs est susceptible de subir une violation massive de données s’il utilise une version vulnérable du plugin Ninja Forms.

La fonction de traitement qui contient CVE-2023-38393
La fonction de traitement qui contient CVE-2023-38393
(Patchstack)

Les correctifs apportés par l’éditeur dans la version 3.6.26 incluent l’ajout de vérifications de permissions pour les problèmes de contrôle d’accès et des restrictions d’accès aux fonctions afin d’empêcher l’exploitation de la faille XSS identifiée.

Il est important de souligner que la divulgation de ces failles a été retardée de plus de trois semaines afin de ne pas attirer l’attention des pirates avant que les utilisateurs de Ninja Form puissent appliquer les correctifs. Cependant, de nombreux utilisateurs n’ont toujours pas mis à jour leur plugin.

Les détails techniques de ces failles sont disponibles dans la couverture de Patchstack, ce qui signifie que les acteurs malveillants bien informés peuvent les exploiter facilement. Par conséquent, il est vivement recommandé à tous les administrateurs de sites web utilisant le plugin Ninja Forms de mettre à jour vers la version 3.6.26 ou ultérieure dès que possible. Si cela n’est pas possible, il est conseillé de désactiver le plugin sur les sites concernés jusqu’à ce que les correctifs puissent être appliqués.

Source de notre information

  • Brassière sport microfibre imprimée- sans armatures - BlancheporteUne brassière qui vous suit dans tous vos mouvements en maintenant confortablement votre poitrine. Ses bretelles astucieuses peuvent s'attacher grâce à un crochet au milieu du dos, afin de
    Une brassière qui vous suit dans tous vos mouvements en maintenant confortablement votre poitrine. Ses bretelles astucieuses peuvent s'attacher grâce à un crochet au milieu du dos, afin de les rendre invisible sous un débardeur de sport !
  • Brassière sport microfibre imprimée- sans armatures - BlancheporteUne brassière qui vous suit dans tous vos mouvements en maintenant confortablement votre poitrine. Ses bretelles astucieuses peuvent s'attacher grâce à un crochet au milieu du dos, afin de
    Une brassière qui vous suit dans tous vos mouvements en maintenant confortablement votre poitrine. Ses bretelles astucieuses peuvent s'attacher grâce à un crochet au milieu du dos, afin de les rendre invisible sous un débardeur de sport !
  • Brassière sport microfibre imprimée- sans armatures - BlancheporteUne brassière qui vous suit dans tous vos mouvements en maintenant confortablement votre poitrine. Ses bretelles astucieuses peuvent s'attacher grâce à un crochet au milieu du dos, afin de
    Une brassière qui vous suit dans tous vos mouvements en maintenant confortablement votre poitrine. Ses bretelles astucieuses peuvent s'attacher grâce à un crochet au milieu du dos, afin de les rendre invisible sous un débardeur de sport !
Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.