Les sites Web WordPress utilisant un plugin largement utilisé nommé Ninja Forms ont été mis à jour automatiquement pour corriger une vulnérabilité de sécurité critique qui est soupçonnée d’avoir été activement exploitée dans la nature. Le problème, qui concerne un cas d’injection de code, est noté 9,8 sur 10 pour la gravité et affecte plusieurs versions à partir de la 3.0. Il a été corrigé dans 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 et 3.6.11. Ninja Forms est un générateur de formulaires de contact personnalisable qui compte plus d’un million d’installations. Selon Wordfence, le bogue « a permis à des attaquants non authentifiés d’appeler un nombre limité de méthodes dans diverses classes Ninja Forms, y compris une méthode qui désérialisait le contenu fourni par l’utilisateur, entraînant l’injection d’objets ».

« Cela pourrait permettre aux attaquants d’exécuter du code arbitraire ou de supprimer des fichiers arbitraires sur des sites où une chaîne [de programmation orientée propriété] distincte était présente », a noté Chloe Chamberland de Wordfence. L’exploitation réussie de la faille pourrait permettre à un attaquant d’exécuter du code à distance et de prendre complètement le contrôle d’un site WordPress vulnérable. Il est conseillé aux utilisateurs de Ninja Forms de s’assurer que leurs sites WordPress sont mis à jour pour exécuter la dernière version corrigée afin d’empêcher toute tentative d’exploitation possible dans la nature.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *