Planification SEM pour 2024 : parce que 2023 ne vous a pas préparé
Préparez-vous pour 2024 avec un plan SEM solide. Apprenez à surmonter les défis et à optimiser vos efforts de marketing de recherche pour des résultats optimaux.
La vulnérabilité du plugin Forminator WordPress affecte jusqu'à 400 000+ sites Web
30 août 2023
La National Vulnerability Database (NVD) du gouvernement américain a publié un avis faisant état d'une vulnérabilité critique affectant le plugin Forminator WordPress Contact Form jusqu'à la version 1.24.6 incluse.
Des attaquants non authentifiés peuvent télécharger des fichiers malveillants. vers des sites Web qui, selon l'avertissement, « peuvent rendre possible l'exécution de code à distance ».
Le score de vulnérabilité est de 9,8, sur une échelle de un à dix, dix étant le niveau de vulnérabilité le plus grave.< /p>
Capture d'écran de Wordfence Advisory
Capture d'écran de Wordfence.com
Vulnérabilité aux attaquants non authentifiés
De nombreuses vulnérabilités ont tendance à nécessiter qu'un attaquant commence par atteindre un niveau d'utilisateur WordPress avant de pouvoir lancer une attaque.
Par exemple, certaines vulnérabilités sont disponibles pour ceux qui ont un niveau d'utilisateur abonné, d'autres nécessitent un niveau de contributeur ou d'administrateur pour pouvoir effectuer une attaque.
Ce qui rend cette vulnérabilité particulièrement inquiétante est qu'elle permet à des attaquants non authentifiés, ceux qui n'ont aucun niveau d'utilisateur du tout, pour réussir à pirater le site.
Une deuxième raison pour laquelle cette vulnérabilité est notée 9,8 sur une échelle de 1 à 10 (critique) est que l'attaquant peut télécharger un fichier arbitraire, ce qui signifie n'importe quel type de fichier, comme un script malveillant.
La National Vulnerability Database (NVD) décrit la vulnérabilité :
La National Vulnerability Database (NVD) décrit la vulnérabilité :« Le plugin Forminator pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de la validation du type de fichier se produisant après le téléchargement d'un fichier sur le serveur dans la fonction upload_post_image() dans les versions jusqu'à 1.24.6 incluse.
Cela rend possible les téléchargements de fichiers non authentifiés. les attaquants peuvent télécharger des fichiers arbitraires sur le serveur du site affecté, ce qui peut rendre possible l'exécution de code à distance. »
« Le plugin Forminator pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de la validation du type de fichier se produisant après le téléchargement d'un fichier sur le serveur dans la fonction upload_post_image() dans les versions jusqu'à 1.24.6 incluse.
Cela rend possible les téléchargements de fichiers non authentifiés. les attaquants peuvent télécharger des fichiers arbitraires sur le serveur du site affecté, ce qui peut rendre possible l'exécution de code à distance. »
Exécution de code à distance
Une vulnérabilité d'exécution de code à distance (RCE) est un type d'exploit dans lequel l'attaquant peut exécuter du code malveillant sur le site Web attaqué à distance depuis une autre machine.
Les dommages causés par ce type d'exploit peuvent être aussi graves qu'une prise de contrôle complète d'un site.
Les formulaires de contact doivent être verrouillés
Plugins WordPress qui permettent à des utilisateurs enregistrés ou non authentifiés pour télécharger quoi que ce soit, même du texte ou des images, il doit y avoir un moyen de limiter ce qui peut être téléchargé.
Les formulaires de contact doivent être particulièrement verrouillés car ils acceptent les commentaires du public.
RCE non spécifique à WordPress
Ces types de vulnérabilités ne sont pas spécifiques à WordPress, ils peut arriver à n'importe quel système de gestion de contenu.
WordPress publie des normes de codage pour que les éditeurs sachent comment empêcher ce genre de choses.
La page des développeurs WordPress pour la sécurité des plugins (Sanitizing Data) explique comment gérer correctement les téléchargements provenant de sources non fiables.
Sanitizing DataLa page développeur conseille :
La page développeur conseille :"Les données non fiables proviennent de nombreuses sources (utilisateurs, sites tiers, même votre propre base de données !) et toutes doivent être vérifiées avant d'être publiées. utilisé.
La désinfection des entrées est le processus de sécurisation/nettoyage/filtrage des données d'entrée.
La validation est préférée à la désinfection car la validation est plus spécifique.
Mais quand « plus précis » n'est pas possible, la désinfection est la meilleure solution. »
"Les données non fiables proviennent de nombreuses sources (utilisateurs, sites tiers, même votre propre base de données !) et toutes doivent être vérifiées avant d'être publiées. utilisé.
La désinfection des entrées est le processus de sécurisation/nettoyage/filtrage des données d'entrée.
La validation est préférée à la désinfection car la validation est plus spécifique.
Mais quand « plus précis » n'est pas possible, la désinfection est la meilleure solution. »
Le plugin de formulaire de contact Forminator a-t-il corrigé la vulnérabilité ?
Selon la base de données nationale sur les vulnérabilités et la société de sécurité Wordfence WordPress, le problème a été résolu dans la version 1.25.0.
Wordfence recommande de mettre à jour vers la dernière version :
Wordfence recommande de mettre à jour vers la dernière version :Wordfence recommande"Mettre à jour vers la version 1.25.0 ou une version corrigée plus récente..."
"Mettre à jour vers la version 1.25.0 ou une version corrigée plus récente..."
Journal des modifications du plug-in Forminator
Un journal des modifications est un enregistrement de toutes les modifications apportées à un logiciel. Il permet aux utilisateurs de le lire et de déterminer s'ils souhaitent ou non mettre à jour leur logiciel.
C'est une bonne pratique d'informer vos utilisateurs qu'une mise à jour logicielle contient un correctif (appelé correctif) pour une vulnérabilité.
Cela permet aux utilisateurs de savoir qu'une mise à jour particulière est urgente afin qu'ils puissent effectuer une décision éclairée concernant la mise à jour de son logiciel.
Sinon, comment un utilisateur de logiciel saurait-il qu'une mise à jour est urgente sans que le journal des modifications ne l'en informe, n'est-ce pas ?
Jugez par vous-même si le journal des modifications de Forminator offre une notification suffisante à ses utilisateurs concernant un correctif de vulnérabilité :
Capture d'écran du journal des modifications de Forminator
Sources :
Lisez l'avis officiel de la base de données nationale sur les vulnérabilités :
Lisez l'avis officiel de la base de données nationale sur les vulnérabilités :Détails CVE-2023-4596Lisez l'avis de Wordfence sur la vulnérabilité du plug-in de formulaire de contact WordPress Forminator
Lisez l'avis de Wordfence sur la vulnérabilité du plug-in de formulaire de contact WordPress ForminatorForminator <= 1.24.6 – Téléchargement de fichiers arbitraires non authentifiés
Forminator <= 1.24.6 – Téléchargement de fichiers arbitraires non authentifiésLire le rapport sur la base de données d'exploitation sur la vulnérabilité du formulaire de contact Forminator
Lire le rapport sur la base de données d'exploitation sur la vulnérabilité du formulaire de contact ForminatorWordPress Plugin Forminator 1.24.6 – Exécution de commandes à distance non authentifiées
WordPress Plugin Forminator 1.24.6 – Exécution de commandes à distance non authentifiéesImage sélectionnée par Shutterstock/ViDI Studio
Image sélectionnée par Shutterstock/ViDI StudioCes articles pourraient vous intéresser...
Google répond aux critiques concernant les forums en tête des résultats de recherche
Le carrousel du forum de Google suscite un débat, soulevant des inquiétudes concernant la désinformation et incitant l'entreprise à réagir.
Mise à jour de YouTube Analytics : impressions des spectateurs nouveaux et connus
YouTube introduit de nouvelles informations sur les impressions, permettant aux chaînes de voir une répartition des téléspectateurs nouveaux et connus.