Sitemap

Vulnérabilité du plugin Ninja Forms

Le populaire plugin WordPress Forms Ninja Form a récemment mis à jour son plugin pour corriger une grave vulnérabilité.La vulnérabilité est classée comme étant de gravité élevée car elle pourrait permettre à un attaquant de voler l'accès au niveau administrateur et de prendre le contrôle de l'intégralité du site Web.

Vulnérabilité de falsification des requêtes intersites

L'exploit qui en est la cause s'appelle Cross-Site Request Forgery.Ce type de vulnérabilité exploite l'absence d'un contrôle de sécurité normal qui permet ensuite à un attaquant de télécharger ou de remplacer des fichiers et même d'obtenir un accès administratif.

Voici comment le site Common Weakness Enumeration, décrit ce genre d'exploit :

"L'application Web ne vérifie pas ou ne peut pas vérifier suffisamment si une demande bien formée, valide et cohérente a été intentionnellement fournie par l'utilisateur qui a soumis la demande.

… il peut être possible pour un attaquant de tromper un client en lui faisant faire une demande involontaire au serveur Web qui sera traitée comme une demande authentique. … et peut entraîner l'exposition de données ou l'exécution de code involontaire.

Ninja Forms Vulnérabilité de gravité élevée

WordFence WordPress Security a découvert l'exploit et a immédiatement averti les éditeurs du plugin WordPress Ninja Forms.Ninja Forms a immédiatement corrigé la faille de sécurité dans les 24 heures.

Selon WordFence, la vulnérabilité était contenue dans un mode "hérité" qui contrôlait les fonctionnalités de style qui revenaient à une version plus ancienne.C'est cette partie du code qui a été affectée.

Voici comment WordFence le décrit :

"Alors que toutes ces fonctions utilisaient des contrôles de capacité, deux des fonctions n'ont pas réussi à vérifier les nonces, qui sont utilisés pour vérifier qu'une demande a été intentionnellement envoyée par un utilisateur légitime.

… un script malveillant exécuté dans le navigateur d'un administrateur pourrait être utilisé pour ajouter de nouveaux comptes administratifs, conduisant à une prise de contrôle complète du site, tandis qu'un script malveillant exécuté dans le navigateur d'un visiteur pourrait être utilisé pour rediriger ce visiteur vers un site malveillant.

Journal des modifications des formulaires Ninja

Les éditeurs du plugin Ninja Forms ont mis à jour leur plugin de manière responsable en temps opportun.Ils ont également honnêtement reflété le contenu de la mise à jour dans leur journal des modifications.

Un journal des modifications est une explication de ce qui a changé dans une mise à jour logicielle.Certains fabricants de plugins essaient de cacher le sujet de la mise à jour en ne mentionnant pas les vulnérabilités.

Ninja Forms a honnêtement rapporté de quoi parlait la mise à jour.Ceci est très important pour les éditeurs car cela les avertit si quelque chose doit être mis à jour immédiatement ou s'il peut attendre.

Cela montre que Ninja Forms est un éditeur de plugin WordPress fiable et responsable.

Mettre à jour les formulaires Ninja maintenant

Tous les éditeurs utilisant Ninja Forms sont invités à mettre à jour immédiatement leur plugin Ninja Forms.Ninja Forms Version 3.4.24.2 est la dernière version.Si vous avez une version antérieure, vous devez mettre à jour votre plugin pour éviter cette grave vulnérabilité.

Lisez le rapport WordFence sur la vulnérabilité ici :

Vulnérabilité de gravité élevée corrigée dans les formulaires Ninja

Davantage de ressources