Le plugin populaire WordPress Forms Ninja Form a récemment mis à jour son plugin pour corriger une grave vulnérabilité. Cette vulnérabilité est considérée comme très grave car elle pourrait permettre à un attaquant de voler l’accès au niveau administrateur et de s’emparer de l’ensemble du site web.
Vulnérabilité aux demandes de contrefaçon intersites
L’exploitation qui en est la cause est appelée Cross-Site Request Forgery. Ce type de vulnérabilité exploite l’absence d’un contrôle de sécurité normal, ce qui permet à un attaquant de télécharger ou de remplacer des fichiers et même d’obtenir un accès administratif.
C’est ainsi que le site du Common Weakness Enumeration, décrit ce genre d’exploit :
« L’application web ne vérifie pas, ou ne peut pas vérifier suffisamment, si une demande bien formée, valide et cohérente a été intentionnellement fournie par l’utilisateur qui a soumis la demande.
…il pourrait être possible pour un attaquant de tromper un client pour qu’il fasse une demande involontaire au serveur web qui sera traitée comme une demande authentique. …et peut entraîner l’exposition de données ou l’exécution involontaire de code ».
Les Ninjas deviennent très vulnérables
WordFence WordPress Security a découvert l’exploit et a immédiatement notifié les éditeurs du plugin WordPress Ninja Forms. Ninja Forms a immédiatement corrigé la vulnérabilité de sécurité dans les 24 heures.
Selon WordFence, la vulnérabilité était contenue dans un mode « legacy » qui contrôlait les fonctions de style qui revenaient à une version plus ancienne. C’est cette partie du code qui a été affectée.
C’est ainsi que WordFence le décrit :
« Alors que toutes ces fonctions utilisaient des contrôles de capacité, deux d’entre elles n’ont pas réussi à contrôler les nonces, qui sont utilisées pour vérifier qu’une demande a été intentionnellement envoyée par un utilisateur légitime.
… un script malveillant exécuté dans le navigateur d’un administrateur pourrait être utilisé pour ajouter de nouveaux comptes administratifs, ce qui conduirait à la prise de contrôle complète du site, tandis qu’un script malveillant exécuté dans le navigateur d’un visiteur pourrait être utilisé pour rediriger ce visiteur vers un site malveillant ».
Les Ninja forment un journal de bord
Les éditeurs du plugin Ninja Forms ont mis à jour leur plugin de manière responsable et en temps utile. Ils ont également reflété honnêtement l’objet de la mise à jour dans leur journal des modifications.
Un changelog est une explication de ce qui a changé dans une mise à jour de logiciel. Certains fabricants de plugins tentent de cacher l’objet de la mise à jour en ne mentionnant pas les vulnérabilités.
Ninja Forms a honnêtement rapporté ce dont il s’agissait dans cette mise à jour. C’est très important pour les éditeurs, car cela leur permet de savoir si une mise à jour doit être effectuée immédiatement ou si elle peut attendre.
Cela montre que Ninja Forms est un éditeur de plugins WordPress fiable et responsable.
Mettre à jour les formulaires Ninja maintenant
Tous les éditeurs utilisant Ninja Forms sont priés de mettre à jour immédiatement leur plugin Ninja Forms. La version 3.4.24.2 de Ninja Forms est la dernière version. Si vous disposez d’une version antérieure, vous devez mettre à jour votre plugin pour éviter cette grave vulnérabilité.
Lisez le rapport de WordFence sur la vulnérabilité ici :
Une vulnérabilité de grande ampleur sous forme ninja
Auteur/autrice
