30 août 2023
La National Vulnerability Database (NVD) du gouvernement américain a publié un avis faisant état d'une vulnérabilité critique affectant le plugin Forminator WordPress Contact Form jusqu'à la version 1.24.6 incluse.
Des attaquants non authentifiés peuvent télécharger des fichiers malveillants. vers des sites Web qui, selon l'avertissement, « peuvent rendre possible l'exécution de code à distance ».
Le score de vulnérabilité est de 9,8, sur une échelle de un à dix, dix étant le niveau de vulnérabilité le plus grave.< /p>
Capture d'écran de Wordfence.com
De nombreuses vulnérabilités ont tendance à nécessiter qu'un attaquant commence par atteindre un niveau d'utilisateur WordPress avant de pouvoir lancer une attaque.
Par exemple, certaines vulnérabilités sont disponibles pour ceux qui ont un niveau d'utilisateur abonné, d'autres nécessitent un niveau de contributeur ou d'administrateur pour pouvoir effectuer une attaque.
Ce qui rend cette vulnérabilité particulièrement inquiétante est qu'elle permet à des attaquants non authentifiés, ceux qui n'ont aucun niveau d'utilisateur du tout, pour réussir à pirater le site.
Une deuxième raison pour laquelle cette vulnérabilité est notée 9,8 sur une échelle de 1 à 10 (critique) est que l'attaquant peut télécharger un fichier arbitraire, ce qui signifie n'importe quel type de fichier, comme un script malveillant.
La National Vulnerability Database (NVD) décrit la vulnérabilité :
La National Vulnerability Database (NVD) décrit la vulnérabilité :« Le plugin Forminator pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de la validation du type de fichier se produisant après le téléchargement d'un fichier sur le serveur dans la fonction upload_post_image() dans les versions jusqu'à 1.24.6 incluse.
Cela rend possible les téléchargements de fichiers non authentifiés. les attaquants peuvent télécharger des fichiers arbitraires sur le serveur du site affecté, ce qui peut rendre possible l'exécution de code à distance. »
« Le plugin Forminator pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de la validation du type de fichier se produisant après le téléchargement d'un fichier sur le serveur dans la fonction upload_post_image() dans les versions jusqu'à 1.24.6 incluse.
Cela rend possible les téléchargements de fichiers non authentifiés. les attaquants peuvent télécharger des fichiers arbitraires sur le serveur du site affecté, ce qui peut rendre possible l'exécution de code à distance. »
Une vulnérabilité d'exécution de code à distance (RCE) est un type d'exploit dans lequel l'attaquant peut exécuter du code malveillant sur le site Web attaqué à distance depuis une autre machine.
Les dommages causés par ce type d'exploit peuvent être aussi graves qu'une prise de contrôle complète d'un site.
Plugins WordPress qui permettent à des utilisateurs enregistrés ou non authentifiés pour télécharger quoi que ce soit, même du texte ou des images, il doit y avoir un moyen de limiter ce qui peut être téléchargé.
Les formulaires de contact doivent être particulièrement verrouillés car ils acceptent les commentaires du public.
Ces types de vulnérabilités ne sont pas spécifiques à WordPress, ils peut arriver à n'importe quel système de gestion de contenu.
WordPress publie des normes de codage pour que les éditeurs sachent comment empêcher ce genre de choses.
La page des développeurs WordPress pour la sécurité des plugins (Sanitizing Data) explique comment gérer correctement les téléchargements provenant de sources non fiables.
Sanitizing DataLa page développeur conseille :
La page développeur conseille :"Les données non fiables proviennent de nombreuses sources (utilisateurs, sites tiers, même votre propre base de données !) et toutes doivent être vérifiées avant d'être publiées. utilisé.
La désinfection des entrées est le processus de sécurisation/nettoyage/filtrage des données d'entrée.
La validation est préférée à la désinfection car la validation est plus spécifique.
Mais quand « plus précis » n'est pas possible, la désinfection est la meilleure solution. »
"Les données non fiables proviennent de nombreuses sources (utilisateurs, sites tiers, même votre propre base de données !) et toutes doivent être vérifiées avant d'être publiées. utilisé.
La désinfection des entrées est le processus de sécurisation/nettoyage/filtrage des données d'entrée.
La validation est préférée à la désinfection car la validation est plus spécifique.
Mais quand « plus précis » n'est pas possible, la désinfection est la meilleure solution. »
Selon la base de données nationale sur les vulnérabilités et la société de sécurité Wordfence WordPress, le problème a été résolu dans la version 1.25.0.
Wordfence recommande de mettre à jour vers la dernière version :
Wordfence recommande de mettre à jour vers la dernière version :Wordfence recommande"Mettre à jour vers la version 1.25.0 ou une version corrigée plus récente..."
"Mettre à jour vers la version 1.25.0 ou une version corrigée plus récente..."
Un journal des modifications est un enregistrement de toutes les modifications apportées à un logiciel. Il permet aux utilisateurs de le lire et de déterminer s'ils souhaitent ou non mettre à jour leur logiciel.
C'est une bonne pratique d'informer vos utilisateurs qu'une mise à jour logicielle contient un correctif (appelé correctif) pour une vulnérabilité.
Cela permet aux utilisateurs de savoir qu'une mise à jour particulière est urgente afin qu'ils puissent effectuer une décision éclairée concernant la mise à jour de son logiciel.
Sinon, comment un utilisateur de logiciel saurait-il qu'une mise à jour est urgente sans que le journal des modifications ne l'en informe, n'est-ce pas ?
Jugez par vous-même si le journal des modifications de Forminator offre une notification suffisante à ses utilisateurs concernant un correctif de vulnérabilité :
Lisez l'avis officiel de la base de données nationale sur les vulnérabilités :
Lisez l'avis officiel de la base de données nationale sur les vulnérabilités :Détails CVE-2023-4596Lisez l'avis de Wordfence sur la vulnérabilité du plug-in de formulaire de contact WordPress Forminator
Lisez l'avis de Wordfence sur la vulnérabilité du plug-in de formulaire de contact WordPress ForminatorForminator <= 1.24.6 – Téléchargement de fichiers arbitraires non authentifiés
Forminator <= 1.24.6 – Téléchargement de fichiers arbitraires non authentifiésLire le rapport sur la base de données d'exploitation sur la vulnérabilité du formulaire de contact Forminator
Lire le rapport sur la base de données d'exploitation sur la vulnérabilité du formulaire de contact ForminatorWordPress Plugin Forminator 1.24.6 – Exécution de commandes à distance non authentifiées
WordPress Plugin Forminator 1.24.6 – Exécution de commandes à distance non authentifiéesImage sélectionnée par Shutterstock/ViDI Studio
Image sélectionnée par Shutterstock/ViDI Studio
Découvrez les secrets de la gestion d'un programme d'affiliation réussi. De l'intégration des affiliés à la création d'une stratégie de communication, la deuxième partie de cette série vous couvre.
Boostez la gestion globale de votre site Web avec des outils d'IA. Découvrez les avantages de l’exploitation de la technologie IA pour le contenu, le référencement, la recherche et bien plus encore.
Regardez ce webinaire à la demande et voyez iQuanti partager des informations exploitables pour mesurer le succès au sein des canaux croisés de la recherche organique et payante.