Le plugin WordPress premium « Gravity Forms », actuellement utilisé par plus de 930 000 sites Web, est vulnérable à l’injection d’objet PHP non authentifiée.
Gravity Forms est un créateur de formulaires personnalisés utilisé par les propriétaires de sites Web pour créer des paiements, des inscriptions, des téléchargements de fichiers ou tout autre formulaire requis pour les interactions ou les transactions entre les visiteurs et le site.
Sur son site Web, Gravity Forms affirme qu’il est utilisé par une grande variété de grandes entreprises, notamment Airbnb, ESPN, Nike, la NASA, PennState et l’Unicef.
La vulnérabilité, qui est identifiée comme CVE-2023-28782, affecte toutes les versions de plug-in à partir de 2.73 et inférieures.
La faille a été découverte par PatchStack le 27 mars 2023 et corrigée par le fournisseur avec la sortie de la version 2.7.4, qui a été rendue disponible le 11 avril 2023.
Il est conseillé aux administrateurs de sites Web utilisant Gravity Forms d’appliquer la mise à jour de sécurité disponible dès que possible.
Détails du défaut
Le problème provient de ce manque de vérifications d’entrée fournies par l’utilisateur pour la fonction ‘maybe_unserialize’ et peut être déclenché en soumettant des données à un formulaire créé avec Gravity Forms.
« Étant donné que PHP autorise la sérialisation d’objets, un utilisateur non authentifié pourrait transmettre des chaînes sérialisées ad hoc à un appel de désérialisation vulnérable, ce qui entraînerait une injection arbitraire d’objets PHP dans la portée de l’application », prévient PatchStack dans le rapport.
« Notez que cette vulnérabilité pourrait être déclenchée sur une installation ou une configuration par défaut du plugin Gravity Forms et ne nécessite qu’un formulaire créé contenant un champ de liste. »
Malgré la gravité potentielle de CVE-2023-28782, les analystes de PatchStack n’ont pas pu trouver de chaîne POP (programmation orientée propriété) significative dans le plugin vulnérable, atténuant quelque peu le risque.
Cependant, le risque reste élevé si le même site utilise d’autres plugins ou thèmes contenant une chaîne POP, ce qui n’est pas rare compte tenu du large éventail de plugins et de thèmes WordPress disponibles et des différents niveaux de qualité du code et de sensibilisation à la sécurité parmi les développeurs.
Dans ces cas, l’exploitation de CVE-2023-28782 pourrait entraîner l’accès et la modification arbitraires de fichiers, l’exfiltration de données utilisateur/membre, l’exécution de code, etc.
Le fournisseur du plugin a corrigé la faille en supprimant l’utilisation de la fonction ‘maybe_unserialize’ du plugin Gravity Forms dans la version 2.74.
Il est également important d’appliquer toutes les mises à jour sur tous les plugins et thèmes actifs sur votre site WordPress, car les correctifs de sécurité peuvent éliminer les vecteurs d’attaque, comme les chaînes POP, qui pourraient être exploitées dans ce cas pour lancer des attaques dommageables.