Cette entrée a été publiée dans Vulnérabilités, Sécurité WordPress le 2 avril 2020 par Ram Gall 0 Réponses

Le 1er avril 2020, l’équipe Wordfence Threat Intelligence a découvert une vulnérabilité Cross Site Scripting (XSS) stockée dans Formulaire de contact 7 Datepicker, un plugin WordPress installé sur plus de 100 000 sites. Comme la page github du développeur du plugin indiquait que le plugin n’était plus maintenu, nous avons contacté l’équipe des plugins WordPress avec notre divulgation, et ils ont immédiatement retiré le plugin du référentiel pour examen. Nous avons également contacté le développeur du plugin et reçu une réponse confirmant qu’il n’avait pas l’intention de le maintenir et que nous étions satisfaits de la suppression du plugin du référentiel.

Tous les utilisateurs de Wordfence, y compris Wordfence gratuit et Wordfence Premium utilisateurs, sont protégés contre cette vulnérabilité par la protection XSS intégrée du Wordfence Firewall. Néanmoins, nous vous recommandons fortement de désactiver et de supprimer ce plugin.


Le plugin Contact Form 7 Datepicker permet aux utilisateurs d’ajouter un datepicker aux formulaires générés par Contact Form 7, et il inclut la possibilité de modifier les paramètres de ces datepickers. Afin de traiter ces paramètres, il a enregistré une action AJAX appelant une fonction qui n’a pas pu inclure une vérification de capacité ou une vérification de nonce. En tant que tel, il était possible pour un attaquant connecté avec des autorisations minimales, comme un abonné, d’envoyer une demande spécialement conçue contenant du JavaScript malveillant qui serait stocké dans les paramètres du plugin.

La prochaine fois qu’un utilisateur autorisé créerait ou modifierait un formulaire de contact, le JavaScript stocké serait exécuté dans son navigateur, qui pourrait être utilisé pour voler une session d’administrateur ou même créer des utilisateurs administratifs malveillants.

Que devrais-je faire?

Bien que tous les sites exécutant le pare-feu d’application Web Wordfence doivent être protégés contre cette vulnérabilité, nous vous recommandons fortement de désactiver et de supprimer le plug-in Contact Form 7 Datepicker s’il est installé sur votre site. Si votre site exécute Wordfence, le scanner devrait vous alerter si l’un de vos plugins est vulnérable ou a été supprimé du référentiel WordPress. Comme le plugin Contact Form 7 Datepicker n’est plus maintenu, il ne sera probablement jamais corrigé, il peut donc être judicieux de rechercher un autre plugin avec des fonctionnalités similaires.

En raison du nombre de sites affectés par la fermeture de ce plugin, nous fournissons intentionnellement un minimum de détails sur cette vulnérabilité pour empêcher une exploitation généralisée. Nous continuerons de surveiller la situation et de fournir plus de détails dans une future mise à jour.

Avez-vous aimé cette publication? Partagez-le!


Source link