Un bogue récemment découvert dans un plugin WordPress populaire peut avoir exposé des milliers de sites au risque d’exécuter des scripts Web malveillants contre des visiteurs peu méfiants.

La vulnérabilité, découverte par l’équipe Wordfence Threat Intelligence, a été trouvée dans « WordPress Email Template Designer – WP HTML Mail », un plugin qui facilite la conception d’e-mails personnalisés pour les sites Web fonctionnant sur le constructeur de sites Web de WordPress.

Environ 20 000 sites Web ont le plugin opérationnel.

Préoccupations WordPress

Préoccupations WordPress
© ithemes.com

Selon les chercheurs, la faille permettait à un attaquant non authentifié d’injecter du JavaScript malveillant, qui serait exécuté à chaque fois qu’un administrateur du site accède à l’éditeur de modèles. Lire aussi : Comment Marvel a transformé l’enfance d’un Avenger en une série de bandes dessinées populaire. De plus, la vulnérabilité leur permettrait de modifier le modèle d’e-mail, en ajoutant des données arbitraires qui pourraient être utilisées dans une attaque de phishing contre les destinataires des e-mails.

Les chercheurs ont contacté les développeurs du plug-in et un correctif a été publié le 13 janvier. L’équipe Threat Intelligence de Wordfence exhorte tous les administrateurs WordPress exécutant le plugin de conception de modèles d’e-mails à le mettre à jour immédiatement vers la version 3.1.

Détaillant davantage la vulnérabilité, les chercheurs ont déclaré que le plug-in enregistre deux chemins REST-API, qui sont utilisés pour récupérer et mettre à jour les paramètres du modèle de courrier électronique. Comme ceux-ci étaient « implémentés de manière non sécurisée », les utilisateurs non authentifiés pouvaient accéder à ces points de terminaison.

Recherches populaires

Injection de porte dérobée

Injection de porte dérobée
© i0.wp.com

« Le plugin enregistre le point de terminaison /themesettings, qui appelle la fonction saveThemeSettings ou la fonction getThemeSettings selon la méthode de requête. Le point de terminaison REST-API utilisait la fonction permit_callback, mais elle était définie sur __return_true, ce qui signifiait que l’authentification n’était pas requise pour exécuter les fonctions. A voir aussi : Les failles du plugin WordPress mettent 3 millions de sites Web en danger. Par conséquent, tout utilisateur avait accès pour exécuter le point de terminaison REST-API pour enregistrer les paramètres de thème de messagerie ou récupérer les paramètres de thème de messagerie « , ont expliqué les chercheurs.

La fonctionnalité permet la mise en œuvre de modifications des paramètres du modèle d’e-mail, ce qui signifie qu’un attaquant pourrait « facilement » le transformer en outil de phishing, ont également déclaré les chercheurs. Ils pourraient même ajouter du JavaScript malveillant dans le modèle.

« Comme toujours, les vulnérabilités de script intersite peuvent être utilisées pour injecter du code qui peut ajouter de nouveaux utilisateurs administratifs, rediriger les victimes vers des sites malveillants, injecter des portes dérobées dans les fichiers de thème et de plug-in, et plus encore », ont-ils conclu.

Tout cela signifie qu’il existe une « forte probabilité » que des attaquants malveillants puissent obtenir un accès utilisateur administrateur sur des sites exécutant la version non corrigée du plug-in.