Une faille de Popup Builder affectait 200 000 sites internet

0

Les développeurs du plugin Popup Builder, utilisé par les sites Web WordPress pour créer des publicités pop-up pour les abonnements à la newsletter, ont déployé un correctif pour une faille grave. La vulnérabilité pourrait être exploitée par des pirates informatiques pour envoyer des newsletters avec un contenu personnalisé, ou pour supprimer ou importer des abonnés à la newsletter.

Le plugin, dont le nom complet est Popup Builder – Responsive WordPress Pop up – Subscription & Newsletter, est développé par Sygnoos. Il a été installé sur 200 000 sites Web WordPress. Les versions 3.71 et inférieures sont affectées par la vulnérabilité (un correctif a été déployé dans la version 3.72 et la dernière version est 3.73).

«La seule condition requise pour l’exploitation est que l’utilisateur soit connecté et ait accès au token nonce», ont déclaré les chercheurs de WebArx. « Cela affecte les méthodes qui à leur tour pourraient nuire à la réputation et à l’état de sécurité du site. »

wordpress code snippets

Le problème provient d’un manque d’autorisation pour les méthodes AJAX dans le plugin Popup Builder. AJAX est un ensemble de techniques de développement Web utilisées pour créer des applications Web; la méthode AJAX est utilisée pour exécuter une requête AJAX.

Dans ce cas, la méthode AJAX ne vérifie pas la capacité de l’utilisateur. Pour cette raison, le point de terminaison AJAX, destiné à être accessible uniquement aux administrateurs, pourrait également permettre aux utilisateurs au niveau des abonnés d’effectuer un certain nombre d’actions susceptibles de compromettre la sécurité du site, ont déclaré les chercheurs. Un abonné est un rôle d’utilisateur dans WordPress, généralement avec des capacités très limitées, y compris la connexion au site Web et la publication de commentaires.

Une méthode vulnérable est liée au fichier importConfigView.php. Sans autorisation, les hackers pourraient utiliser cette méthode pour importer une liste d’abonnés à partir d’une URL distante, qui est ensuite traitée dans la méthode saveImportedSubscribers. Les attaquants pourraient également utiliser le fichier importConfigView.php pour importer des fichiers malveillants à partir de l’URL distante. La seule limitation est que s’il ne s’agit pas d’un fichier CSV légitime (fichiers conçus pour exporter facilement des données et les importer dans d’autres programmes), le fichier ne sortira que la première ligne du fichier donné, ont déclaré les chercheurs. Une autre méthode vulnérable permet aux attaquants d’envoyer une newsletter à l’aide des données de la newsletter extraites de la variable d’entrée utilisateur $ _POST [‘newsletterData’].

«Cela peut également inclure le contenu du corps de l’e-mail personnalisé, l’expéditeur de l’e-mail et plusieurs autres attributs qui permettront essentiellement à un utilisateur malveillant d’envoyer des e-mails à tous les abonnés», ont déclaré les chercheurs.

Les chercheurs ont noté qu’un token nonce est vérifié – mais comme ce token nonce est envoyé à tous les utilisateurs quelles que soient leurs capacités, n’importe quel utilisateur peut exécuter les méthodes AJAX vulnérables tant qu’il transmet le token nonce. Un nonce est un numéro cryptographique, utilisé par les protocoles d’authentification pour protéger les communications privées en empêchant les attaques de relecture.

popup builder

Les chercheurs ont découvert la faille de Popup Builder le 2 décembre 2020 et en ont informé le développeur le même jour. Un correctif a été déployé pour la faille le 22 janvier 2021 dans la version 3.72 du plugin. Dans cette version, les méthodes AJAX disposent désormais d’un contrôle d’autorisation interdisant aux attaquants d’exploiter la faille.

Popup Builder et les autres plugins de WordPress

Les plugins WordPress présentent de sérieuses vulnérabilités. Plus tôt en Janvier, les chercheurs ont mis en garde contre deux vulnérabilités (dont une critique) dans un plugin WordPress appelé Orbit Fox qui pourraient permettre aux attaquants d’injecter du code malveillant dans des sites Web vulnérables et/ou de prendre le contrôle d’un site Web.

Laisser un commentaire