Le populaire plugin de création de formulaires WordPress Ninja Forms contient trois vulnérabilités qui pourraient permettre aux attaquants d’augmenter les privilèges et de voler les données des utilisateurs.
Les chercheurs de Patchstack ont découvert et divulgué les trois vulnérabilités au développeur du plugin, Saturday Drive, le 22 juin 2023, avertissant qu’il affecte les versions 3.6.25 et antérieures de NinjaForms.
Les développeurs ont publié la version 3.6.26 le 4 juillet 2023 pour corriger les vulnérabilités. Cependant, les statistiques de WordPress.org montrent que seulement environ la moitié de tous les utilisateurs de NinjaForms ont téléchargé la dernière version, laissant environ 400 000 sites vulnérables aux attaques.
Les vulnérabilités
La première vulnérabilité découverte par Patchstack est CVE-2023-37979, une faille XSS (cross-site scripting) reflétée basée sur POST qui permet aux utilisateurs non authentifiés d’élever leurs privilèges et de voler des informations en incitant les utilisateurs privilégiés à visiter une page Web spécialement conçue.
Les deuxième et troisième problèmes, suivis respectivement sous les noms CVE-2023-38393 et CVE-2023-38386, sont des problèmes de contrôle d’accès cassés sur la fonction d’exportation des soumissions de formulaires du plug-in, permettant aux abonnés et aux contributeurs d’exporter toutes les données que les utilisateurs ont soumises sur le site WordPress impacté.
Bien que les problèmes soient considérés comme très graves, le CVE-2023-38393 est particulièrement dangereux car un utilisateur de rôle d’abonné requis est facile à rencontrer.
Tout site qui prend en charge les inscriptions d’adhésion et d’utilisateurs serait susceptible d’incidents de violation de données massifs en raison de cette faille s’il utilise une version vulnérable du plug-in Ninja Forms.
Les correctifs appliqués par le fournisseur dans la version 3.6.26 incluent l’ajout de contrôles d’autorisation pour les problèmes de contrôle d’accès cassés et les restrictions d’accès aux fonctions qui empêchent le déclenchement du XSS identifié.
Le signalement public des failles ci-dessus a été retardé de plus de trois semaines pour éviter d’attirer l’attention des pirates sur les failles tout en permettant aux utilisateurs de Ninja Form de corriger. Cependant, il y a encore un nombre important qui ne l’ont pas encore fait.
La couverture de Patchstack contient des informations techniques détaillées sur les trois failles, de sorte que leur exploitation devrait être triviale pour les acteurs de la menace bien informés.
Cela dit, il est recommandé à tous les administrateurs de sites Web qui utilisent le plugin Ninja Forms de mettre à jour vers la version 3.6.26 ou ultérieure dès que possible. Si cela n’est pas possible, les administrateurs doivent désactiver le plugin de leurs sites jusqu’à ce qu’ils puissent appliquer le correctif.