Actualités Informatique

Attention ! Les pirates peuvent voler vos données grâce à une faille dans le plugin WordPress Ninja Forms !

Par Jean-Luc Pircard , le septembre 26, 2023 - 3 minutes de lecture
AccueilActualités InformatiqueAttention ! Les pirates peuvent voler vos données grâce à une faille dans le plugin WordPress Ninja Forms !
Notez-moi

Les utilisateurs du plugin WordPress Ninja Forms doivent être conscients de trois vulnérabilités qui ont été découvertes récemment. Ces vulnérabilités pourraient permettre à des attaquants de réaliser une escalade des privilèges et de voler des données utilisateur. Les chercheurs de Patchstack ont identifié ces vulnérabilités et les ont signalées au développeur du plugin, Saturday Drive, le 22 juin 2023. Ils ont souligné que les versions 3.6.25 et antérieures de NinjaForms sont affectées.

Le développeur a publié une mise à jour, la version 3.6.26, le 4 juillet 2023 pour corriger ces vulnérabilités. Cependant, il est préoccupant de constater que seulement la moitié des utilisateurs de NinjaForms ont téléchargé cette dernière version. Cela signifie que près de 400 000 sites web restent vulnérables aux attaques.

Les vulnérabilités identifiées

La première vulnérabilité, connue sous le nom de 2CVE-2023-37979, est une faille XSS (cross-site scripting) réfléchie basée sur POST. Elle permet à des utilisateurs non authentifiés d’élever leurs privilèges et de voler des informations en incitant des utilisateurs privilégiés à visiter une page web spécialement conçue.

Les deuxième et troisième vulnérabilités, nommées CVE-2023-38393 et CVE-2023-38386 respectivement, concernent des problèmes de contrôle d’accès dans la fonction d’exportation des soumissions de formulaire du plugin. Ces vulnérabilités permettent aux abonnés et aux contributeurs d’exporter toutes les données soumises par les utilisateurs sur le site WordPress concerné.

Il est important de noter que bien que ces vulnérabilités soient classées comme étant de haute sévérité, la CVE-2023-38393 est particulièrement dangereuse car il est facile pour un utilisateur du rôle d’Abonné de l’exploiter.

Tout site web qui permet les inscriptions de membres et d’utilisateurs est susceptible de subir une violation massive de données s’il utilise une version vulnérable du plugin Ninja Forms.

La fonction de traitement qui contient CVE-2023-38393
La fonction de traitement qui contient CVE-2023-38393
(Patchstack)

Les correctifs apportés par l’éditeur dans la version 3.6.26 incluent l’ajout de vérifications de permissions pour les problèmes de contrôle d’accès et des restrictions d’accès aux fonctions afin d’empêcher l’exploitation de la faille XSS identifiée.

Il est important de souligner que la divulgation de ces failles a été retardée de plus de trois semaines afin de ne pas attirer l’attention des pirates avant que les utilisateurs de Ninja Form puissent appliquer les correctifs. Cependant, de nombreux utilisateurs n’ont toujours pas mis à jour leur plugin.

Les détails techniques de ces failles sont disponibles dans la couverture de Patchstack, ce qui signifie que les acteurs malveillants bien informés peuvent les exploiter facilement. Par conséquent, il est vivement recommandé à tous les administrateurs de sites web utilisant le plugin Ninja Forms de mettre à jour vers la version 3.6.26 ou ultérieure dès que possible. Si cela n’est pas possible, il est conseillé de désactiver le plugin sur les sites concernés jusqu’à ce que les correctifs puissent être appliqués.

Source de notre information

  • Friteuse NINJA Foodi Flex AF500EU
    Grâce à la friteuse NINJA Foodi Flex AF500EU, vous pourrez faire cuire un grand plat avec très peu d'huile, ou bien 2 petits plats en même temps. La friteuse sans huile avec 2 compartiments qui peuvent se combiner Craquez sans culpabiliser et réalisez de grands repas en famille avec la friteuse NINJA Foodi Flex AF500EU. Avec le tiroir de cuisson FlexDrawer, passez de 2 zones de cuisson indépendantes à une seule MegaZone de cuisson grâce au séparateur amovible. Quand vous avez à servir de nombreux convives, retirez le séparateur pour créer une MegaZone de cuisson de 10,4 L, pour préparer une plus grosse quantité. De cette façon, vous pouvez aussi cuire une grande pièce de viande ou un poulet rôti entier. Grâce à la séparation entre 2 compartiments, vous avez aussi la possibilité de préparer 2 types d'aliments de 2 façons différentes en simultané, avec des fins de cuisson automatiquement synchronisées. Avec ce système bien pratique, la friteuse NINJA Foodi Flex AF500EU vous permettra de servir à table vos 2 plats chauds en même temps. Plus besoin de rester en cuisine pendant que vos invités se régalent. Une cuisine saine et gourmande avec jusqu'à 75 % de matières grasses en moins La cuisson sans huile Air Fry présente de nombreux avantages. Tout d'abord, elle vous fait gagner du temps, jusqu'à 65 % plus rapide que les fours à chaleur tournante. Ensuite, elle permet de cuisiner avec moins de matières grasses, jusqu'à 75 % de moins que les méthodes de friture traditionnelles. Avec la friteuse NINJA Foodi Flex AF500EU, vous mangerez plus sain, tout en profitant de l'aspect croustillant des fritures, mais sans les odeurs désagréables, la surconsommation d'huile et les phases de préchauffage. Côté fonctions, la friteuse NINJA Foodi Flex AF500EU propose plusieurs modes de cuisson : Max Crisp (faire croustiller à 240 °C, même les aliments surgelés), Air Fry (frire sans huile à 200 °C), Roast (rôtir), Bake (cuire au four), Reheat (réchauffer en préservant le croustillant), Dehydrate (déshydrater) et Prove (faire lever, fermenter). Tous ces modes vous permettront de réussir plusieurs types de cuisson, de 40 à 240 °C, grâce à une puissance de 2470 W.
    199,99 €
  • Friteuse NINJA AF180EU max 6.2L
    Savourez de délicieux aliments frits à la perfection sans culpabiliser grâce à la friteuse AF180EU MAX de NINJA. Se faire plaisir sans culpabiliser L'innovation NINJA met à votre disposition une friteuse AF180EU MAX qui remplace l'huile par l'air chaud, pour cuire vos aliments à la perfection en utilisant jusqu'à 75 % de matières grasses en moins qu'une friteuse classique. Cuits, rôtis, grillés, maintenus au chaud et même réchauffés, tous vos aliments sont sublimés avec les six modes de cuisson dont Max Crisp de la friteuse AF180EU MAX de NINJA ! La technologie NINJA dote l'appareil AF180EU MAX d'un format carré, qui garantit une surface de cuisson plus large qui vous permet de cuire jusqu'à 4 blancs de poulet en simultané. Résultat, vous obtenez de savoureuses recettes, croustillantes à l'extérieur et moelleuses à l'intérieur avec un minimum de matière grasse ajoutée. Le plus : une fonction déshydratation s'adapte à toutes vos envies et vos goûts. Pensée pour le quotidien Préparez de délicieux plats jour après jour et régalez votre entourage avec la friteuse AF180EU MAX de NINJA. Les 6 programmes personnalisables de l'appareil se plient en quatre pour vous faire gagner du temps : le design et la conception de la friteuse AF160EU vous permettent de choisir les températures et le temps de cuisson grâce à un minuteur LCD avec arrêt automatique. Conçue pour s'insérer parfaitement dans votre quotidien, la friteuse AF180EU MAX de NINJA est équipée de touches de fonctions et de réglages qui vous offrent une navigation intuitive à travers ses différentes possibilités : Max Crisp, air fry, rôti, cuisson, réchauffage et déshydratation. C'est l'alliée de vos repas savoureux et sains au quotidien.
    119,99 €
  • T-shirt col rond manches longues uni - BlancheporteSa douceur, sa fluidité et sa simplicité : il y a tellement de raisons d'adopter ce tee-shirt manches longues uni. Il s'associera à vos jeans, jupes longues et bermudas toute l'année en vous offrant un co
    Sa douceur, sa fluidité et sa simplicité : il y a tellement de raisons d'adopter ce tee-shirt manches longues uni. Il s'associera à vos jeans, jupes longues et bermudas toute l'année en vous offrant un confort sans faille grâce à son jersey coton-viscose.
    12,99 €
Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Voir les publications de l'auteur

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.