Le plugin WordPress Furminator utilisé sur plus de 500 000 sites est vulnérable à une faille qui permet à des acteurs malveillants d’effectuer des téléchargements de fichiers sans restriction sur le serveur.

Furminator de WPMU DEV est un constructeur personnalisé de contacts, de commentaires, de quiz, d’enquêtes/sondages et de formulaires de paiement pour les sites WordPress qui offre des fonctionnalités de glisser-déposer, des intégrations tierces étendues et une polyvalence générale.

Jeudi, le CERT japonais a publié une alerte sur son portail de notes de vulnérabilité (JVN) avertissant de l’existence d’une faille de gravité critique (CVE-2024-28890, CVSS v3: 9.8) dans Forminator qui pourrait permettre à un attaquant distant de télécharger des logiciels malveillants sur des sites utilisant le plugin.

« Un attaquant distant peut obtenir des informations sensibles en accédant à des fichiers sur le serveur, modifier le site qui utilise le plug-in et provoquer une condition de déni de service (DoS). »- JCJ

Le bulletin de sécurité de JPCERT répertorie les trois vulnérabilités suivantes:

  • CVE-2024-28890 – Validation insuffisante des fichiers lors du téléchargement des fichiers, permettant à un attaquant distant de télécharger et d’exécuter des fichiers malveillants sur le serveur du site. Impacts Forminateur 1.29.0 et versions antérieures.
  • CVE-2024-31077 – Faille d’injection SQL permettant à des attaquants distants disposant de privilèges d’administrateur d’exécuter des requêtes SQL arbitraires dans la base de données du site. Impacts Forminateur 1.29.3 et versions antérieures.
  • CVE-2024-31857 – Faille de script intersite (XSS) permettant à un attaquant distant d’exécuter du code HTML et de script arbitraire dans le navigateur d’un utilisateur s’il est amené à suivre un lien spécialement conçu. Impacts Forminateur 1.15.4 et plus ancien.

Il est conseillé aux administrateurs du site utilisant le plugin Furminator de mettre à niveau le plugin vers la version 1.29.3, qui corrige les trois défauts, dès que possible.

WordPress.org les statistiques montrent que depuis la publication de la mise à jour de sécurité le 8 avril 2024, environ 180 000 administrateurs de site ont téléchargé le plugin. En supposant que tous ces téléchargements concernaient la dernière version, il reste encore 320 000 sites vulnérables aux attaques.

Au moment de la rédaction de cet article, il n’y avait eu aucun rapport public d’exploitation active de CVE-2024-28890, mais en raison de la gravité de la faille et des exigences faciles à respecter pour en tirer parti, le risque pour les administrateurs de reporter la mise à jour est élevé.

Pour minimiser la surface d’attaque sur les sites WordPress, utilisez le moins de plugins possible, mettez à jour la dernière version dès que possible et désactivez les plugins qui ne sont pas activement utilisés/nécessaires.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *