Attention ! Les pirates peuvent voler vos données grâce à une faille dans le plugin WordPress Ninja Forms !

Les utilisateurs du plugin WordPress Ninja Forms doivent être conscients de trois vulnérabilités qui ont été découvertes récemment. Ces vulnérabilités pourraient permettre à des attaquants de réaliser une escalade des privilèges et de voler des données utilisateur. Les chercheurs de Patchstack ont identifié ces vulnérabilités et les ont signalées au développeur du plugin, Saturday Drive, le 22 juin 2023. Ils ont souligné que les versions 3.6.25 et antérieures de NinjaForms sont affectées.

Le développeur a publié une mise à jour, la version 3.6.26, le 4 juillet 2023 pour corriger ces vulnérabilités. Cependant, il est préoccupant de constater que seulement la moitié des utilisateurs de NinjaForms ont téléchargé cette dernière version. Cela signifie que près de 400 000 sites web restent vulnérables aux attaques.

Les vulnérabilités identifiées

La première vulnérabilité, connue sous le nom de 2CVE-2023-37979, est une faille XSS (cross-site scripting) réfléchie basée sur POST. Elle permet à des utilisateurs non authentifiés d’élever leurs privilèges et de voler des informations en incitant des utilisateurs privilégiés à visiter une page web spécialement conçue.

Les deuxième et troisième vulnérabilités, nommées CVE-2023-38393 et CVE-2023-38386 respectivement, concernent des problèmes de contrôle d’accès dans la fonction d’exportation des soumissions de formulaire du plugin. Ces vulnérabilités permettent aux abonnés et aux contributeurs d’exporter toutes les données soumises par les utilisateurs sur le site WordPress concerné.

Il est important de noter que bien que ces vulnérabilités soient classées comme étant de haute sévérité, la CVE-2023-38393 est particulièrement dangereuse car il est facile pour un utilisateur du rôle d’Abonné de l’exploiter.

Tout site web qui permet les inscriptions de membres et d’utilisateurs est susceptible de subir une violation massive de données s’il utilise une version vulnérable du plugin Ninja Forms.

Les correctifs apportés par l’éditeur dans la version 3.6.26 incluent l’ajout de vérifications de permissions pour les problèmes de contrôle d’accès et des restrictions d’accès aux fonctions afin d’empêcher l’exploitation de la faille XSS identifiée.

Il est important de souligner que la divulgation de ces failles a été retardée de plus de trois semaines afin de ne pas attirer l’attention des pirates avant que les utilisateurs de Ninja Form puissent appliquer les correctifs. Cependant, de nombreux utilisateurs n’ont toujours pas mis à jour leur plugin.

Les détails techniques de ces failles sont disponibles dans la couverture de Patchstack, ce qui signifie que les acteurs malveillants bien informés peuvent les exploiter facilement. Par conséquent, il est vivement recommandé à tous les administrateurs de sites web utilisant le plugin Ninja Forms de mettre à jour vers la version 3.6.26 ou ultérieure dès que possible. Si cela n’est pas possible, il est conseillé de désactiver le plugin sur les sites concernés jusqu’à ce que les correctifs puissent être appliqués.

Source de notre information