La vulnérabilité de WordPress Ninja Forms expose plus d’un million de sites

Publié le 25 octobre 2021 par Mycamer

Aujourd’hui, il a été révélé que le populaire formulaire de contact WordPress appelé Ninja Forms avait corrigé deux vulnérabilités, affectant plus d’un million d’installations WordPress. Cela représente une autre dans une liste croissante de vulnérabilités liées à l’API REST qui sont découvertes parmi de nombreux plugins WordPress.

Il faut réitérer qu’il n’y a rien de mal avec l’API WordPress REST elle-même. Les problèmes proviennent de la façon dont les plugins WordPress conçoivent leurs interactions avec l’API REST.

API REST WordPress

L’API WordPress REST est une interface qui permet aux plugins d’interagir avec le noyau WordPress. L’API REST permet aux plugins, thèmes et autres applications de manipuler le contenu WordPress et de créer des fonctionnalités interactives.

Publicité

Continuer la lecture ci-dessous

Cette technologie étend ce que le noyau WordPress peut faire.

Le noyau WordPress reçoit des données via l’interface API REST des plugins afin d’accomplir ces nouvelles expériences.

Cependant, comme toute autre interaction qui permet le téléchargement ou la saisie de données, il est important de « désinfecter » ce qui est entré et qui est capable de faire la saisie, afin de s’assurer que les données sont ce qui est attendu et conçu pour recevoir.

Le fait de ne pas désinfecter les entrées et de restreindre les personnes autorisées à saisir les données peut entraîner des vulnérabilités.

Et c’est exactement ce qui s’est passé ici.

Vulnérabilité de rappel des autorisations

Les deux vulnérabilités étaient le résultat d’un seul problème de validation de l’API REST, en particulier dans les rappels d’autorisations.

Publicité

Continuer la lecture ci-dessous

Le rappel des autorisations fait partie du processus d’authentification qui restreint l’accès aux points de terminaison de l’API REST aux utilisateurs autorisés.

La documentation officielle de WordPress décrit un point de terminaison en tant que fonction:

« Les points de terminaison sont des fonctions disponibles via l’API. Cela peut être des choses comme la récupération de l’index de l’API, la mise à jour d’un article ou la suppression d’un commentaire. Les points de terminaison exécutent une fonction spécifique, prennent un certain nombre de paramètres et renvoient des données au client.

Selon le Documentation de l’API REST WordPress:

« Les rappels d’autorisations sont extrêmement importants pour la sécurité avec l’API REST WordPress.

Si vous avez des données privées qui ne doivent pas être affichées publiquement, vous devez alors enregistrer des rappels d’autorisations pour vos points de terminaison.

Deux vulnérabilités de WordPress Ninja Forms

Il y avait deux vulnérabilités qui étaient toutes deux liées à une erreur de rappel des autorisations lors de la mise en œuvre.

Il n’y a rien de mal avec l’API WordPress REST elle-même, mais la façon dont les fabricants de plugins l’implémentent peut entraîner des problèmes.

Voici les deux vulnérabilités :

  • Divulgation d’informations sensibles
  • API REST non protégée vers l’injection d’e-mails

Vulnérabilité de divulgation d’informations sensibles

La vulnérabilité de divulgation d’informations sensibles permettait à tout utilisateur enregistré, même abonné, d’exporter tous les formulaires qui avaient déjà été soumis sur le site Web. Cela inclut toutes les informations confidentielles que quelqu’un peut avoir soumises.

Publicité

Continuer la lecture ci-dessous

Ninja Forms avait un rappel d’autorisations qui vérifiait si un utilisateur était enregistré, mais il ne vérifiait pas si l’utilisateur disposait d’un niveau d’autorisation approprié pour exécuter une exportation en masse de tous les formulaires soumis via le plugin WordPress Ninja Forms.

Cet échec à vérifier le niveau d’autorisation de l’utilisateur est ce qui a permis à tout utilisateur enregistré, y compris un abonné à un site Web, d’exécuter une exportation en masse de tous les formulaires soumis.

L’API REST non protégée pour l’injection d’e-mails

Cette vulnérabilité était due au même rappel d’autorisations défectueux qui n’a pas réussi à vérifier le niveau d’autorisation de l’attaquant enregistré. La vulnérabilité a tiré parti d’une fonctionnalité Ninja Forms qui permet aux éditeurs de sites Web d’envoyer des notifications par courrier électronique en masse ou des confirmations par courrier électronique en réponse aux soumissions de formulaires.

Publicité

Continuer la lecture ci-dessous

La vulnérabilité d’injection d’e-mails a permis à un attaquant d’utiliser cette fonctionnalité spécifique de Ninja Forms pour envoyer des e-mails du site Web vulnérable à n’importe quelle adresse e-mail.

Cette vulnérabilité particulière avait la possibilité de lancer une prise de contrôle complète du site ou une campagne de phishing contre les clients d’un site Web.

Selon les chercheurs en sécurité de Wordfence qui ont découvert la vulnérabilité :

« Cette vulnérabilité pourrait facilement être utilisée pour créer une campagne de phishing qui pourrait amener des utilisateurs peu méfiants à effectuer des actions indésirables en abusant de la confiance dans le domaine utilisé pour envoyer l’e-mail.

En outre, une attaque de spear phishing plus ciblée pourrait être utilisée pour faire croire à un propriétaire de site qu’un e-mail provenait de son propre site.

Cela pourrait être utilisé pour amener un administrateur à saisir son mot de passe sur une fausse page de connexion, ou permettre à un attaquant de tirer parti d’une deuxième vulnérabilité nécessitant une ingénierie sociale, telle que Cross-Site Request Forgery ou Cross-Site Scripting, qui pourrait être utilisée. pour la reprise du site.

Publicité

Continuer la lecture ci-dessous

Mise à jour immédiate des formulaires Ninja recommandées

Les chercheurs en sécurité sont Wordfence recommandent aux utilisateurs du plugin WordPress Ninja Forms de mettre à jour leur plugin immédiatement.

La vulnérabilité est classée comme un danger de niveau moyen, avec une note de 6,5 sur une échelle de 1 à 10.

Citations

Lire l’annonce de Wordfence :

Les vulnérabilités récemment corrigées dans le plugin Ninja Forms affectent plus d’un million de propriétaires de sites

Journal officiel des modifications des formulaires Ninja



— to www.searchenginejournal.com