Le 9 décembre 2020, l’équipe de Wordfence Threat Intelligence a découvert une vulnérabilité Cross-Site Request Forgery (CSRF) to Stored Cross Site Scripting (XSS) dans Formulaire de contact 7 Style, un plugin WordPress installé sur plus de 50 000 sites. Veuillez noter qu’il s’agit d’un plugin distinct de Contact Form 7 et qu’il est conçu comme un module complémentaire à ce plugin.

Nous avons d’abord contacté le développeur du plugin le 9 décembre 2020. Nous n’avons reçu aucune réponse pendant une semaine et avons fait un suivi le 16 décembre 2020. Après avoir reçu aucune réponse pendant près de 30 jours et accordé du temps supplémentaire en raison des vacances, nous avons augmenté le problème à l’équipe WordPress Plugins le 4 janvier 2020, fournissant tous les détails de la vulnérabilité au moment du rapport. L’équipe WordPress Plugins nous a répondu le même jour en nous informant qu’elle avait informé le développeur du plugin de nos découvertes, leur donnant 30 jours pour résoudre le problème ou répondre avant la fermeture du plugin. Malheureusement, ni l’équipe WordPress Plugins ni l’équipe Wordfence Threat Intelligence n’ont reçu de réponse. Cette semaine, le 1er février 2020, le plugin a été supprimé du référentiel en raison du manque de réponse du développeur du plugin.

Tous les utilisateurs de Wordfence, y compris Wordfence gratuit et Wordfence Premium utilisateurs, sont protégés de tout exploit visant cette vulnérabilité par la protection XSS intégrée du pare-feu Wordfence. Quoi qu’il en soit, nous vous recommandons fortement de désactiver et de supprimer ce plugin et de trouver un remplacement car il ne semble plus être maintenu par son développeur.

La description: Falsification de requêtes intersites (CSRF) vers des scripts intersites stockés (XSS)
Plugin concerné: Formulaire de contact 7 Style
Plugin Slug: contact-form-7-style
Versions concernées:
ID CVE: En attente.
Score CVSS: 8,8 (élevé)
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
Version entièrement corrigée: RESTE NON PATCHÉ.

Contact Form 7 Style est un plugin qui peut être utilisé pour ajouter des styles supplémentaires aux formulaires créés avec Contact Form 7, l’un des plugins les plus populaires pour WordPress. Dans le cadre de ses fonctionnalités, Contact Form 7 Style permet aux utilisateurs de personnaliser le code des feuilles de style en cascade (CSS) afin de personnaliser l’apparence des formulaires de contact créés par Contact Form 7.

En raison du manque de nettoyage et du manque de protection nonce sur cette fonctionnalité, un attaquant pourrait créer une demande d’injection de JavaScript malveillant sur un site à l’aide du plugin. Si un attaquant réussissait à tromper l’administrateur d’un site en cliquant sur un lien ou une pièce jointe, la demande pourrait être envoyée et les paramètres CSS seraient mis à jour avec succès pour inclure du JavaScript malveillant.

Il est important de noter que comme pour toutes les vulnérabilités CSRF, cette vulnérabilité ne peut être exploitée si un utilisateur avec les capacités administratives effectuent une action lors de l’authentification sur le site WordPress vulnérable. En règle générale, les administrateurs du site doivent toujours être vigilants lorsqu’ils cliquent sur des liens. Si vous pensez que vous devez cliquer sur un lien, nous vous recommandons d’utiliser des fenêtres de navigation privée lorsque vous n’êtes pas sûr d’un lien ou d’une pièce jointe. Cette précaution peut empêcher votre site d’être exploité avec succès par cette vulnérabilité avec toutes les autres vulnérabilités CSRF.

Comment puis-je me protéger?

Nous vous recommandons fortement de désactiver et de supprimer le plugin Contact Form 7 Style et de trouver un remplacement, car il semble que ce plugin ne sera pas corrigé dans un avenir prévisible. Si vous devez garder le plugin installé sur votre site jusqu’à ce que vous trouviez un remplacement, et que vous exécutez le pare-feu d’application Web Wordfence, alors vous pouvez être assuré que votre site sera protégé contre tout exploit visant cette vulnérabilité lors de la recherche d’un remplacement.

En raison du nombre de sites affectés par la fermeture de ce plugin, nous fournissons intentionnellement un minimum de détails sur cette vulnérabilité afin de donner aux utilisateurs suffisamment de temps pour trouver une solution alternative. Nous pouvons fournir des détails supplémentaires plus tard alors que nous continuons à surveiller la situation.


Source link