Deux vulnérabilités dans les populaires Ninja Forms Plugin WordPress aurait pu permettre aux acteurs malveillants d’exporter des informations sensibles et d’envoyer Hameçonnage e-mails d’un site vulnérable, rapportent des chercheurs en sécurité.
Dans leurs panne de la vulnérabilité, la cyber-sécurité chercheurs de Wordfence, qui développe des solutions de sécurité pour protéger WordPress installations, notez que Ninja Forms se vante d’une base d’installation de plus d’un million de sites Web.
Les chercheurs expliquent que les vulnérabilités existaient parce que le populaire plugin de création de formulaire reposait sur une implémentation non sécurisée du mécanisme qui vérifie les autorisations d’un utilisateur.
L’implémentation non sécurisée signifiait qu’au lieu de garantir qu’un utilisateur connecté disposait des autorisations appropriées pour déclencher l’action associée, la fonction ne vérifiait que si l’utilisateur était effectivement connecté ou non, et rien d’autre.
Qu’est-ce?
L’un des problèmes, une vulnérabilité d’exportation de soumission en masse, pourrait permettre à tout utilisateur connecté, quel que soit son niveau d’autorisation, d’exporter tout ce qui avait déjà été soumis à l’un des formulaires du site.
L’autre problème permettait à n’importe quel utilisateur d’envoyer un e-mail à partir d’un site Web WordPress vulnérable à n’importe quelle adresse e-mail.
“Cette vulnérabilité pourrait facilement être utilisée pour créer une campagne de phishing qui pourrait inciter des utilisateurs peu méfiants à effectuer des actions indésirables en abusant de la confiance dans le domaine qui a été utilisé pour envoyer l’e-mail”, suggère Wordfence, ajoutant qu’il pourrait également être utilisé pour tromper le les administrateurs du site Web ainsi que pour faciliter une campagne de prise de contrôle du site.
Wordfence a divulgué de manière responsable la vulnérabilité à Ninja Forms le 3 août 2021, qui l’a immédiatement reconnu et a publié un correctif plus tôt ce mois-ci sous la forme de Ninja Forms v3.5.8.
— to www.techradar.com