Le 4 janvier 2023, chercheur indépendant en sécurité Mohamed Chemouri a contacté le programme Wordfence Vulnerability Disclosure pour divulguer et demander de manière responsable un ID CVE pour une vulnérabilité dans Metform Elementor Contact Form Builder, un plugin WordPress avec plus de 100 000 installations.
Le vulnérabilitéune vulnérabilité de scripts intersites stockés non authentifiés, est sans doute la variante la plus dangereuse des scripts intersites car elle fournit le chemin le plus simple vers la prise de contrôle de site et a reçu l’identifiant CVE-2023-0084.
Mohammed a contacté le développeur du plugin indépendamment le même jour et une version corrigée a été mise à disposition quelques jours plus tard, le 8 janvier 2023.
Tous les utilisateurs de Wordfence, y compris Wordfence gratuit ainsi que Wordfence Premium, Wordfence Care et Wordfence Response, sont protégés contre cette vulnérabilité par la protection intégrée contre les scripts intersites du pare-feu Wordfence. Cependant, l’équipe Wordfence Threat Intelligence a pris connaissance d’un éventuel contournement et a publié une règle de pare-feu pour les utilisateurs de Wordfence Premium, Wordfence Care et Wordfence Response le 3 février 2023.
Cette protection supplémentaire sera disponible pour les utilisateurs gratuits de Wordfence après 30 jours, le 5 mars 2023, mais les utilisateurs gratuits de Wordfence peuvent simplement mettre à jour le plugin Metform vers la dernière version qui est 3.2.1 au moment de la rédaction de cet article pour obtenir une protection contre cela. vulnérabilité. Nous recommandons vivement aux utilisateurs de Wordfence Premium, Care et Response de mettre à jour, car la mise à jour contient un certain nombre de corrections de bogues supplémentaires.
Le plugin Metform Elementor Contact Form Builder permet aux constructeurs de sites de créer des formulaires de contact hautement fonctionnels. Malheureusement, les versions vulnérables du plugin Metform ne parviennent pas à échapper aux entrées de formulaire soumises lors de leur affichage dans le panneau d’administration.
Cela signifiait que tout visiteur du site pouvait remplir un formulaire de contact avec du JavaScript malveillant et que le script s’exécutait dans le navigateur de tout administrateur visualisant cette entrée de formulaire.
Bien que le nettoyage des entrées ait également pu aider, échapper la sortie est beaucoup plus important pour empêcher les scripts intersites, car les contournements sont beaucoup moins courants.
La version corrigée a mis à jour la fonction format_form_data pour échapper les données du formulaire de sortie afin de résoudre ce problème.
Un attaquant capable d’exécuter JavaScript dans le navigateur d’un administrateur peut s’en servir pour prendre le contrôle d’un site Web via plusieurs méthodes, notamment en ajoutant un nouvel administrateur malveillant ou en injectant une porte dérobée dans un plugin ou un thème du site. Les vulnérabilités de script intersite stocké non authentifié sont la variante la plus dangereuse du script intersite pour les sites WordPress, car il est beaucoup plus facile pour les attaquants de les exploiter automatiquement en masse sans avoir besoin d’un compte utilisateur existant.
Calendrier
4 janvier 2023 – Mohammed Chemouri divulgue de manière responsable la vulnérabilité au fournisseur du plug-in et à notre programme de divulgation des vulnérabilités.
8 janvier 2023 – Une version corrigée du plugin Metform, 3.2.0, est mise à disposition.
3 février 2023 – L’équipe Wordfence Threat Intelligence découvre un contournement potentiel de la règle de script intersite existante et publie une règle de pare-feu supplémentaire pour les sites Wordfence Premium, Care et Response.
5 mars 2023 – La règle de pare-feu devient disponible pour les utilisateurs gratuits de Wordfence.
Conclusion
Dans l’article d’aujourd’hui, nous avons détaillé une vulnérabilité de script intersite stockée non authentifiée dans le plugin Metform découverte et divulguée de manière responsable par le chercheur indépendant en sécurité Mohammed Chemouri. La protection intégrée contre les scripts intersites du pare-feu Wordfence devrait couvrir tous les utilisateurs de Wordfence, y compris ceux qui utilisent Wordfence gratuitement.
Bien que nous ayons trouvé un contournement potentiel et déployé une règle supplémentaire pour le couvrir, nous n’avons pas vu cette vulnérabilité exploitée à grande échelle dans la nature et nous n’avons vu aucune instance de contournement exploitée. Néanmoins, nous vous recommandons fortement de mettre à jour vers la dernière version du plugin Metform Elementor Contact Form Builder, qui est 3.2.1 au moment de la rédaction de cet article.
Si vous pensez que votre site a été compromis en raison de cette vulnérabilité ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via Soins des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse Wordfence offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire. Si vous avez des amis ou des collègues qui utilisent ce plugin, veuillez partager cette annonce avec eux et les encourager à mettre à jour la dernière version corrigée de Metform Elementor Contact Form Builder dès que possible.
Si vous êtes chercheur en sécurité, vous pouvez divulguez-nous vos découvertes de manière responsable et obtenez un ID CVE et obtenez votre nom sur le Classement Wordfence Intelligence Community Edition.
Source link