La National Vulnerability Database (NVD) du gouvernement américain a publié un avis concernant une vulnérabilité affectant le plugin WordPress Metform Elementor Contact Form Builder qui pourrait divulguer des informations sensibles.
Générateur de formulaires de contact Metform Elementor pour WordPress
Le générateur de formulaires de contact Metform Elementor est un module complémentaire tiers du populaire plugin de création de pages Elementor avec plus de 200 000 installations.
Il offre une interface glisser-déposer qui facilite la création de formulaires de contact, y compris des formulaires en plusieurs étapes.
Le plugin WordPress de création de formulaires de contact Metform pour Elementor permet aux débutants sans compétences en codage de créer des formulaires d’enquête, des formulaires de contact, des formulaires de commentaires de référence et peut également enregistrer un formulaire afin qu’un utilisateur puisse y revenir s’il perd et retrouve sa connexion Internet.
Selon le référentiel officiel des plugins WordPress :
« MetForm, le générateur de formulaires de contact WordPress par glisser-déposer est un module complémentaire pour Elementor, créez n’importe quel formulaire de contact rapide et sécurisé à la volée grâce à sa flexibilité de glisser-déposer.
Il peut gérer plusieurs formulaires de contact et vous pouvez personnaliser le formulaire en plusieurs étapes avec un générateur Elementor.
Vulnérabilité de divulgation d’informations
La vulnérabilité permet à un attaquant d’obtenir des informations sensibles.
Cette vulnérabilité est classée par le NVD comme une menace de niveau moyen car elle nécessite qu’un attaquant obtienne un rôle d’utilisateur de niveau abonné ou supérieur.
Un rôle d’utilisateur au niveau de l’abonné est une barre relativement basse pour activer l’exploit, car il est plus facile à obtenir qu’un rôle d’utilisateur au niveau de l’administrateur ou de l’éditeur.
Il suffit à un attaquant de s’abonner à un site Internet pour pouvoir lancer une attaque.
Le site d’Elementor décrit le rôle d’utilisateur abonné:
« Un abonné WordPress est un utilisateur du site qui peut uniquement modifier son profil, lire des articles et laisser des commentaires.
WordPress utilise le concept de « rôles » pour permettre au propriétaire d’un site de contrôler et de gérer l’ensemble de tâches (capacités) que les utilisateurs peuvent effectuer ou non sur le site.
Un abonné est le niveau de rôle d’utilisateur le plus bas avec le moins d’autorisations.
Ainsi, un attaquant peut commencer à pirater le site avec le rôle d’utilisateur le plus bas.
Le NVD décrit la menace:
«Le générateur de formulaires de contact Metform Elementor pour WordPress est vulnérable à la divulgation d’informations via le shortcode ‘mf_first_name’ dans les versions jusqu’à 3.3.1 incluses.
Cela permet à des attaquants authentifiés, dotés de capacités au niveau de l’abonné ou supérieures, d’obtenir des informations sensibles sur les soumissions de formulaires arbitraires, y compris le prénom de l’auteur.
Mettre à jour le plugin pour atténuer les menaces d’attaque
Cette vulnérabilité affecte les versions du plug-in Metform Elementor Contact Form Builder jusqu’à la version 3.3.1 incluse.
La version la plus récente du plugin est la 3.4.0.
Metform Elementor Contact Form Builder version 3.3.2 est la version qui a corrigé la vulnérabilité.
Selon le Journal des modifications officiel du générateur de formulaires de contact Metform Elementor:
“Version 3.3.2
…Amélioré : sécurité, vérification des cas occasionnels et des autorisations. »
Lisez l’avis officiel NVD :
Image sélectionnée par Shutterstock/pedrorsfernandes
to www.searchenginejournal.com
Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931