Magazine Gadgets

Les vulnérabilités des plugins WordPress méchants mettent plus d’un million de sites en danger

Publié le 24 octobre 2021 par Mycamer

Deux vulnérabilités dans les populaires Ninja Forms Plugin WordPress aurait pu permettre aux acteurs malveillants d’exporter des informations sensibles et d’envoyer Hameçonnage e-mails d’un site vulnérable, rapportent des chercheurs en sécurité.

Dans leurs panne de la vulnérabilité, la cyber-sécurité chercheurs de Wordfence, qui développe des solutions de sécurité pour protéger WordPress installations, notez que Ninja Forms se vante d’une base d’installation de plus d’un million de sites Web.

Les chercheurs expliquent que les vulnérabilités existaient parce que le populaire plugin de création de formulaire reposait sur une implémentation non sécurisée du mécanisme qui vérifie les autorisations d’un utilisateur.

L’implémentation non sécurisée signifiait qu’au lieu de garantir qu’un utilisateur connecté disposait des autorisations appropriées pour déclencher l’action associée, la fonction ne vérifiait que si l’utilisateur était effectivement connecté ou non, et rien d’autre.

Qu’est-ce?

L’un des problèmes, une vulnérabilité d’exportation de soumission en masse, pourrait permettre à tout utilisateur connecté, quel que soit son niveau d’autorisation, d’exporter tout ce qui avait déjà été soumis à l’un des formulaires du site.

L’autre problème permettait à n’importe quel utilisateur d’envoyer un e-mail à partir d’un site Web WordPress vulnérable à n’importe quelle adresse e-mail.

“Cette vulnérabilité pourrait facilement être utilisée pour créer une campagne de phishing qui pourrait inciter des utilisateurs peu méfiants à effectuer des actions indésirables en abusant de la confiance dans le domaine qui a été utilisé pour envoyer l’e-mail”, suggère Wordfence, ajoutant qu’il pourrait également être utilisé pour tromper le les administrateurs du site Web ainsi que pour faciliter une campagne de prise de contrôle du site.

Wordfence a divulgué de manière responsable la vulnérabilité à Ninja Forms le 3 août 2021, qui l’a immédiatement reconnu et a publié un correctif plus tôt ce mois-ci sous la forme de Ninja Forms v3.5.8.

— to www.techradar.com


Retour à La Une de Logo Paperblog

A propos de l’auteur


Mycamer Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazines