La vulnérabilité du plugin Forminator WordPress affecte jusqu'à 400 000+ sites Web

La vulnérabilité du plugin Forminator WordPress affecte jusqu'à 400 000+ sites Web

La National Vulnerability Database (NVD) du gouvernement américain a publié un avis faisant état d'une vulnérabilité critique affectant le plugin Forminator WordPress Contact Form jusqu'à la version 1.24.6 incluse.

Des attaquants non authentifiés peuvent télécharger des fichiers malveillants. vers des sites Web qui, selon l'avertissement, « peuvent rendre possible l'exécution de code à distance ».

Le score de vulnérabilité est de 9,8, sur une échelle de un à dix, dix étant le niveau de vulnérabilité le plus grave.< /p>

Capture d'écran de Wordfence Advisory

Image montrant que la vulnérabilité du plugin WordPress Forminator a une largeur de 9,8Capture d'écran de Wordfence.com

Vulnérabilité aux attaquants non authentifiés

De nombreuses vulnérabilités ont tendance à nécessiter qu'un attaquant commence par atteindre un niveau d'utilisateur WordPress avant de pouvoir lancer une attaque.

Par exemple, certaines vulnérabilités sont disponibles pour ceux qui ont un niveau d'utilisateur abonné, d'autres nécessitent un niveau de contributeur ou d'administrateur pour pouvoir effectuer une attaque.

Ce qui rend cette vulnérabilité particulièrement inquiétante est qu'elle permet à des attaquants non authentifiés, ceux qui n'ont aucun niveau d'utilisateur du tout, pour réussir à pirater le site.

Une deuxième raison pour laquelle cette vulnérabilité est notée 9,8 sur une échelle de 1 à 10 (critique) est que l'attaquant peut télécharger un fichier arbitraire, ce qui signifie n'importe quel type de fichier, comme un script malveillant.

La National Vulnerability Database (NVD) décrit la vulnérabilité :

La National Vulnerability Database (NVD) décrit la vulnérabilité :

« Le plugin Forminator pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de la validation du type de fichier se produisant après le téléchargement d'un fichier sur le serveur dans la fonction upload_post_image() dans les versions jusqu'à 1.24.6 incluse.

Cela rend possible les téléchargements de fichiers non authentifiés. les attaquants peuvent télécharger des fichiers arbitraires sur le serveur du site affecté, ce qui peut rendre possible l'exécution de code à distance. »

« Le plugin Forminator pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de la validation du type de fichier se produisant après le téléchargement d'un fichier sur le serveur dans la fonction upload_post_image() dans les versions jusqu'à 1.24.6 incluse.

Cela rend possible les téléchargements de fichiers non authentifiés. les attaquants peuvent télécharger des fichiers arbitraires sur le serveur du site affecté, ce qui peut rendre possible l'exécution de code à distance. »

Exécution de code à distance

Une vulnérabilité d'exécution de code à distance (RCE) est un type d'exploit dans lequel l'attaquant peut exécuter du code malveillant sur le site Web attaqué à distance depuis une autre machine.

Les dommages causés par ce type d'exploit peuvent être aussi graves qu'une prise de contrôle complète d'un site.

Les formulaires de contact doivent être verrouillés

Plugins WordPress qui permettent à des utilisateurs enregistrés ou non authentifiés pour télécharger quoi que ce soit, même du texte ou des images, il doit y avoir un moyen de limiter ce qui peut être téléchargé.

Les formulaires de contact doivent être particulièrement verrouillés car ils acceptent les commentaires du public.

RCE non spécifique à WordPress

Ces types de vulnérabilités ne sont pas spécifiques à WordPress, ils peut arriver à n'importe quel système de gestion de contenu.

WordPress publie des normes de codage pour que les éditeurs sachent comment empêcher ce genre de choses.

La page des développeurs WordPress pour la sécurité des plugins (Sanitizing Data) explique comment gérer correctement les téléchargements provenant de sources non fiables.

Sanitizing Data

La page développeur conseille :

La page développeur conseille :

"Les données non fiables proviennent de nombreuses sources (utilisateurs, sites tiers, même votre propre base de données !) et toutes doivent être vérifiées avant d'être publiées. utilisé.

La désinfection des entrées est le processus de sécurisation/nettoyage/filtrage des données d'entrée.

La validation est préférée à la désinfection car la validation est plus spécifique.

Mais quand « plus précis » n'est pas possible, la désinfection est la meilleure solution. »

"Les données non fiables proviennent de nombreuses sources (utilisateurs, sites tiers, même votre propre base de données !) et toutes doivent être vérifiées avant d'être publiées. utilisé.

La désinfection des entrées est le processus de sécurisation/nettoyage/filtrage des données d'entrée.

La validation est préférée à la désinfection car la validation est plus spécifique.

Mais quand « plus précis » n'est pas possible, la désinfection est la meilleure solution. »

Le plugin de formulaire de contact Forminator a-t-il corrigé la vulnérabilité ?

Selon la base de données nationale sur les vulnérabilités et la société de sécurité Wordfence WordPress, le problème a été résolu dans la version 1.25.0.

Wordfence recommande de mettre à jour vers la dernière version :

Wordfence recommande de mettre à jour vers la dernière version :Wordfence recommande

"Mettre à jour vers la version 1.25.0 ou une version corrigée plus récente..."

"Mettre à jour vers la version 1.25.0 ou une version corrigée plus récente..."

Journal des modifications du plug-in Forminator

Un journal des modifications est un enregistrement de toutes les modifications apportées à un logiciel. Il permet aux utilisateurs de le lire et de déterminer s'ils souhaitent ou non mettre à jour leur logiciel.

C'est une bonne pratique d'informer vos utilisateurs qu'une mise à jour logicielle contient un correctif (appelé correctif) pour une vulnérabilité.

Cela permet aux utilisateurs de savoir qu'une mise à jour particulière est urgente afin qu'ils puissent effectuer une décision éclairée concernant la mise à jour de son logiciel.

Sinon, comment un utilisateur de logiciel saurait-il qu'une mise à jour est urgente sans que le journal des modifications ne l'en informe, n'est-ce pas ?

Jugez par vous-même si le journal des modifications de Forminator offre une notification suffisante à ses utilisateurs concernant un correctif de vulnérabilité :

Capture d'écran du journal des modifications de Forminator

Formulaire de contact Forminator pour le plug-in WordPress changelog

Formulaire de contact Forminator pour le plug-in WordPress changelog

Sources :

Lisez l'avis officiel de la base de données nationale sur les vulnérabilités :

Lisez l'avis officiel de la base de données nationale sur les vulnérabilités :

Détails CVE-2023-4596

Détails CVE-2023-4596

Lisez l'avis de Wordfence sur la vulnérabilité du plug-in de formulaire de contact WordPress Forminator

Lisez l'avis de Wordfence sur la vulnérabilité du plug-in de formulaire de contact WordPress Forminator

Forminator <= 1.24.6 – Téléchargement de fichiers arbitraires non authentifiés

Forminator <= 1.24.6 – Téléchargement de fichiers arbitraires non authentifiés

Lire le rapport sur la base de données d'exploitation sur la vulnérabilité du formulaire de contact Forminator

Lire le rapport sur la base de données d'exploitation sur la vulnérabilité du formulaire de contact Forminator

WordPress Plugin Forminator 1.24.6 – Exécution de commandes à distance non authentifiées

WordPress Plugin Forminator 1.24.6 – Exécution de commandes à distance non authentifiées

Image sélectionnée par Shutterstock/ViDI Studio

Image sélectionnée par Shutterstock/ViDI Studio