Une vulnérabilité a été découverte dans WPFormsun plugin WordPress utilisé par plus de six millions de sites. Comme le rapportent nos confrères de Bleeping Computer, la faille a été découverte par un chercheur en sécurité qui se fait appeler villu164 fin octobre. Le chercheur a alors prévenu l’équipe de WordFence, un plugin de sécurité pour WordPress. En échange de sa découverte, il reçut quelques jours plus tard une prime de 2 376 dollars.
A lire aussi : Les données de 125 millions d’internautes ont été exposées par 900 sites Web
Remboursements non autorisés
Disponible en version payante ou gratuite avec limitations, le plugin permet de créer facilement formulaires personnalisés pour les sites WordPress. Il est possible de concevoir des formulaires de contact, des formulaires de commentaires, des formulaires d’abonnement et des formulaires de paiement. Il est compatible avec plusieurs gestionnaires de paiement en ligne, dont PayPal et Stripe.
En exploitant la faille, un internaute est susceptible deeffectuer un remboursement sur Stripe sans le consentement des administrateurs du site. De facto, un consommateur peut obtenir un remboursement auprès d’une boutique en ligne après avoir passé une commande.
“Cette vulnérabilité permet aux utilisateurs malveillants authentifiés, disposant de droits d’abonné ou supérieurs, de rembourser les paiements Stripe et d’annuler les abonnements Stripe, même s’ils ne devraient pas disposer de ce type d’autorisation”souligne WordFence dans son rapport.
De plus, l’utilisateur peut annuler un abonnement arbitrairement. C’est évidemment dramatique pour tous les propriétaires de sites web. La vulnérabilité met en fait leurs revenus en danger.
Le dysfonctionnement réside dans une fonction destinée à vérifier si une requête provient d’une page ou d’un chemin administratif (par exemple, le tableau de bord WordPress). Cependant, il ne vérifie pas les autorisations de l’utilisateur effectuant la demande. En d’autres termes, cela ne garantit pas que l’utilisateur qui émet la demande dispose des droits nécessaires pour accéder à ces données ou à ces actions. A terme, n’importe quel utilisateur peut émettre des commandes réservées aux administrateurs.
Un correctif a été déployé
Les versions 1.8.4 et jusqu’à 1.9.2.1 du plugin sont concernées. Pour corriger le tir, les développeurs d’Awesome Motive, le groupe derrière WPForms, ont intégré un correctif au sein du mise à jour du plugin 1.9.2.2.
WordFence encourage « Les utilisateurs de WordPress doivent vérifier que leurs sites sont mis à jour avec la dernière version corrigée de WPForms dès que possible étant donné la nature critique de cette vulnérabilité ». Selon les statistiques de WordPress, plus de trois millions de sites sont encore vulnérables.
C’est loin d’être la première fois qu’une faille dans un plugin WordPress populaire met en danger des millions de sites Web. Le mois dernier, une faille dans Really Simple Security, un plugin WordPress axé sur la sécurité, a permis à un attaquant distant d’obtenir un accès administrateur complet à plus de 4 millions de sites. Quelques mois plus tôt, une vulnérabilité du plugin Popup Builder avait même provoqué le piratage de milliers de sites.
???? Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
Ordinateur qui bipe