L’extension Contact Form 7 de WordPress a été patchée

Un correctif pour le plugin populaire de WordPress nommé Contact Form 7 a été publié récemment. Il corrige un bug critique qui permet à un utilisateur non authentifié de prendre le contrôle d’un site Web exécutant le plugin ou éventuellement de détourner l’ensemble du serveur hébergeant le site. Le correctif se présente sous la forme d’une mise à jour de la version 5.3.2 du plugin Contact Form 7.

L’utilitaire WordPress est actif sur 5 millions de sites Web, la majorité de ces sites (70%) exécutant la version 5.3.1 ou antérieure du plugin Contact Form 7.

La vulnérabilité critique (CVE-2020-35489) est classée comme une faille de téléchargement de fichiers sans restriction, selon Astra Security Research, qui a découvert la faille.

Un correctif rapide pour Contact Form 7

«Le développeur du plugin (Takayuki Miyoshi) a rapidement corrigé la vulnérabilité, réalisant sa nature critique. Nous avons communiqué dans les deux sens en essayant de publier la mise à jour le plus tôt possible pour éviter toute exploitation. Une mise à jour corrigeant le problème a déjà été publiée, dans la version 5.3.2 », selon Astra.

contact form 7

Le chasseur de bogues crédité pour avoir identifié la faille, Jinson Varghese, a écrit que la vulnérabilité permet à un utilisateur non authentifié de contourner toutes les restrictions de type de fichier de formulaire dans Contact Form 7 et de télécharger un exécutable binaire sur un site exécutant la version 5.3.1 du plugin ou une version antérieure.

Ensuite, l’adversaire peut faire un certain nombre de choses malveillantes, telles que détériorer le site Web ou rediriger les visiteurs vers un site Web tiers pour tenter d’inciter les visiteurs à transmettre des informations financières et personnelles.

En plus de prendre le contrôle du site Web ciblé, un attaquant pourrait également réquisitionner le serveur hébergeant le site s’il n’y a pas de conteneurisation utilisée pour séparer le site Web sur le serveur hébergeant l’instance WordPress, selon les chercheurs.

wordpress

Une vulnérabilité facile à exploiter

«C’est facilement exploitable. Et l’attaquant n’aurait pas besoin d’être authentifié et l’attaque peut être effectuée à distance », a déclaré Naman Rastogi, spécialiste du marketing numérique et hacker chez Astra, dans une interview.

Il a déclaré qu’une mise à jour de Contact Form 7 a maintenant été déployée. «Pour les utilisateurs qui ont des mises à jour automatiques pour le plugin WordPress, le logiciel se mettra à jour automatiquement. Pour d’autres, ils seront en effet tenus de se mettre à jour de manière proactive », a-t-il déclaré.

La société d’analyse web Netcraft estime que 455 millions de sites Web utilisent actuellement la plate-forme WordPress. Cela suggère que 1,09% des sites WordPress pourraient être vulnérables aux attaques via cette faille de sécurité.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x