Une faille de Popup Builder affecte plus de 100 000 sites

Deux vulnérabilités, dont une faille de gravité élevée, ont été corrigées dans un plugin WordPress nommé Popup Builder. La faille la plus grave pourrait permettre à un individu non authentifié d’injecter du code JavaScript malveillant dans une fenêtre contextuelle. Plus de 100 000 sites Web pourraient donc être contrôlé à cause de cette faille.

Popup Builder aide les utilisateurs à créer et à gérer des fenêtres contextuelles, comme des affichages marketing ou promotionnels, pour leurs sites Web. La semaine dernière, la société de développement de logiciel Sygnoos, propriétaire de Popup Builder, a distribué un patch corrigeant plusieurs vulnérabilités du plugin.

popup builder

“Ces failles ont été corrigées dans la version 3.64.1 et nous recommandons aux utilisateurs de mettre à jour vers la dernière version disponible immédiatement”, ont déclaré des chercheurs de Wordfence. «Bien que nous n’ayons détecté aucune activité malveillante ciblant Popup Builder, la vulnérabilité XSS (cross-site scripting) stockée peut avoir un impact important sur les visiteurs du site et même permettre la prise de contrôle du site.»

La vulnérabilité la plus grave (CVE-2020-10196) est causé par une faille XSS qui se trouve dans un hook AJAX utilisé par le plugin Popup Builder. Dans le développement de plugins WordPress, les développeurs ont la possibilité d’enregistrer des hooks AJAX, ce qui leur permet d’appeler directement des fonctions. Cependant, dans ce plugin spécifique, le hook AJAX était accessible pour les utilisateurs non privilégiés, et il manquait plusieurs vérifications pour les fonctions appelées.

«Cela signifiait qu’un individu non authentifié pouvait envoyer une requête POST à ​​wp-admin/admin-ajax.php avec un paramètre de tableau, ‘allPopupData’, contenant un certain nombre de paires clé-valeur, y compris un ID de popup (visible dans la page source ) et un payload JavaScript malveillant, qui serait ensuite enregistrée dans les paramètres de cette fenêtre contextuelle et exécutée chaque fois qu’un visiteur accède à une page où la fenêtre contextuelle est affichée », ont déclaré les chercheurs.

Alors que les pirates informatiques utilisent généralement une vulnérabilité comme celle-ci pour rediriger les visiteurs du site vers des sites malveillants ou dérober des informations sensibles sur leur navigateur, les chercheurs affirment que la faille pourrait également être exploitée pour la prise de contrôle du site si un administrateur visitait ou prévisualisait une page contenant la fenêtre contextuelle infectée en étant connecté à son compte.

La faille a reçu une note CVSS de 8,3 sur 10. La version 3.63 du plugin est affectée. Les chercheurs invitent les utilisateurs à mettre à jour vers la version 3.64.1.

Une deuxième faille dans Popup Builder

Popup Builder présente également une autre vulnérabilité de gravité moyenne (CVE-2020-10195) qui pourrait être exploitée par les abonnées (utilisateurs connectés, mais avec des autorisations minimales). Les chercheurs ont déclaré qu’en envoyant une requête ($ _POST) à admin-post.php (avec le paramètre ‘action’ défini sur ‘sgpbSaveSettings’ et le paramètre ‘sgpb-user-roles []’ défini sur ‘abonné’), un attaquant pourrait accorder à tous les utilisateurs de niveau abonné un certain nombre d’autorisations liées aux fonctionnalités du plugin.

“En plus d’accorder un accès pour créer et gérer des catégories et des newsletters, cela permettrait à un hacker d’utiliser d’autres fonctions AJAX qui étaient protégées par des nonces, mais pas par des vérifications de capacité, car des nonces utilisables étaient affichés sur ces pages”, ont déclaré les chercheurs . “Alternativement, une requête $ _POST pourrait être envoyée à admin-post.php avec le paramètre “action” défini sur “csv_file”, permettant d’exporter une liste des abonnés à la newsletter. En conséquence, un pirate pourrait accéder aux informations sensibles des abonnés à la newsletter et les utiliser lors d’une attaque d’ingénierie sociale contre ces abonnés. »

wordpress

Plus tôt cette semaine, une vulnérabilité critique a été trouvée dans un plugin WordPress appelé «ThemeREX Addons» qui permettait l’exécution de code à distance dans des dizaines de milliers de sites Web. Selon Wordfence, la faille a été activement exploitée par des cybercriminels. Et plus tôt ce mois-ci, les chercheurs ont signalé que des exploits ciblaient une faille récemment patchée dans le populaire plugin WordPress Duplicator, qui compte plus d’un million d’installations actives. Jusqu’à présent, les chercheurs ont observé 60 000 tentatives de collecte d’informations sensibles auprès des victimes.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x