Une vulnérabilité a été découverte dans WPForms, un plugin WordPress utilisé par plus de six millions de sites. Comme le rapportent nos confrères de Bleeping Computer, la brèche a été découverte par un chercheur en sécurité qui se fait appeler villu164 fin du mois d’octobre. Le chercheur a alors prévenu l’équipe de WordFence, un plugin de sécurité pour WordPress. En échange de sa découverte, il a reçu une prime de 2 376 dollars quelques jours plus tard.
À lire aussi : Les données de 125 millions d’internautes ont été exposées par 900 sites web
Des remboursements non autorisés
Disponible en version payante ou gratuite avec des limitations, le plugin permet de créer facilement des formulaires personnalisés pour les sites WordPress. Il est possible de concevoir des formulaires de contact, des formulaires de commentaires, des formulaires d’abonnement et des formulaires de paiement. Il est compatible avec plusieurs gestionnaires de paiement en ligne, dont PayPal et Stripe.
En exploitant la faille, un internaute est susceptible d’émettre un remboursement sur Stripe sans l’accord des administrateurs du site. De facto, un consommateur peut obtenir un remboursement sur une boutique en ligne après avoir passé une commande.
« Cette vulnérabilité permet à des utilisateurs malveillants authentifiés, ayant des droits d’abonné ou supérieurs, de procéder au remboursement de paiements Stripe et à l’annulation d’abonnements Stripe, même s’ils ne devraient pas avoir ce type d’autorisation », souligne WordFence dans son rapport.
Par ailleurs, l’utilisateur peut annuler un abonnement arbitrairement. C’est évidemment dramatique pour tous les détenteurs de sites web. La vulnérabilité met en effet en danger leurs revenus.
Le dysfonctionnement se trouve dans une fonction destinée à vérifier si une requête provient d’une page ou d’un chemin administratif (par exemple, le tableau de bord de WordPress). Cependant, elle ne vérifie pas les permissions de l’utilisateur à l’origine de la requête. Autrement dit, elle ne s’assure pas que l’utilisateur qui émet la requête a bien les droits nécessaires pour accéder à ces données ou à ces actions. In fine, n’importe quel utilisateur peut émettre des commandes réservées aux administrateurs.
Un correctif a été déployé
Les versions 1.8.4 et jusqu’à 1.9.2.1 du plugin sont concernées. Pour corriger le tir, les développeurs d’Awesome Motive, le groupe derrière WPForms, ont intégré un correctif au sein de la mise à jour 1.9.2.2 du plugin.
WordFence encourage « les utilisateurs de WordPress à vérifier que leurs sites sont mis à jour avec la dernière version corrigée de WPForms dès que possible compte tenu de la nature critique de cette vulnérabilité ». Au vu des statistiques de WordPress, plus de trois millions de sites sont toujours vulnérables.
C’est loin d’être la première fois qu’une faille d’un plugin WordPress populaire met en danger des millions de sites web. Le mois dernier, une faille de Really Simple Security, un plugin WordPress axé sur la sécurité, permettait à un attaquant à distance d’obtenir un accès administrateur complet sur plus de 4 millions de sites. Quelques mois plus tot, une vulnérabilité dans le plugin Popup Builder a même provoqué le piratage de milliers de sites.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
