Le plugin Orbit Fox concerné par 2 failles critiques

0

Deux vulnérabilités (dont une critique) dans un plugin de WordPress nommé Orbit Fox pourraient permettre à des pirates informatiques d’injecter du code malveillant dans des sites Web vulnérables et/ou de prendre le contrôle d’un site Web.

Orbit Fox est un plugin WordPress multifonction qui fonctionne avec les utilitaires de création de site comme Elementor, Beaver Builder et Gutenberg. Il permet aux administrateurs du site d’ajouter des fonctionnalités telles que des formulaires d’inscription et des widgets. Le plugin, développé par ThemeIsle, a été installé par plus de 400 000 sites.

Selon les chercheurs de Wordfence, la première faille (les identifiants CVE sont en attente) est une faille d’élévation de privilèges authentifiée qui a un score de gravité CVSS de 9,9, ce qui la rend critique. Les attaquants authentifiés avec un accès de niveau contributeur ou supérieur peuvent s’élever au statut d’administrateur et potentiellement prendre le contrôle d’un site WordPress.

La deuxième faille, quant à elle, est un problème de script inter-site (XSS) qui permet aux attaquants disposant d’un accès de niveau contributeur ou auteur d’injecter du JavaScript dans les publications. Cette injection pourrait être utilisée pour rediriger les visiteurs vers des sites de publicité malveillante ou créer de nouveaux utilisateurs administratifs. Ce bug a un score de 6,4 sur l’échelle CVSS, ce qui en fait une faille de gravité moyenne.

Élévation de privilèges d’Orbit Fox

La faille d’élévation de privilèges existe dans le widget d’enregistrement Orbit Fox, selon les chercheurs.

Le widget est utilisé pour créer des formulaires d’inscription avec des champs personnalisables lors de l’utilisation des plugins de création de page Elementor et Beaver Builder. Les administrateurs de site peuvent définir un rôle par défaut à attribuer aux utilisateurs qui s’inscrivent sur le site à l’aide du formulaire.

«Les utilisateurs de niveau inférieur comme les contributeurs, les auteurs et les éditeurs n’ont pas eu la possibilité de définir le rôle d’utilisateur par défaut à partir de l’éditeur. Cependant, nous avons constaté qu’ils pouvaient toujours modifier le rôle d’utilisateur par défaut en créant une requête avec le paramètre approprié », ont expliqué les chercheurs de Wordfence, dans une publication. «Le plugin offrait une protection côté client pour empêcher le sélecteur de rôle d’être montré aux utilisateurs de niveau inférieur lors de l’ajout d’un formulaire d’inscription. Malheureusement, il n’existait aucune protection ni validation côté serveur pour vérifier qu’un utilisateur autorisé définissait réellement le rôle d’utilisateur par défaut dans une requête. »

wordpress page builder

La validation côté serveur se produit lorsque des données sont envoyées au serveur lorsqu’un utilisateur les saisit dans un formulaire. Une fois que le serveur reçoit la requête, il vérifie les problèmes de sécurité, s’assure que les données sont correctement formatées et prépare la soumission pour l’insertion ou la mise à jour vers une source de données.

L’absence de validation côté serveur dans Orbit Fox signifie que les contributeurs, auteurs et éditeurs de niveau inférieur du site pourraient définir le rôle de l’utilisateur sur celui d’un administrateur lors d’une inscription réussie – donc, un attaquant aurait juste besoin de s’enregistrer comme nouveau utilisateur et se verrait alors accorder des privilèges d’administrateur.

«Pour exploiter cette faille, l’enregistrement des utilisateurs devrait être activé et le site devrait utiliser les plugins Elementor ou Beaver Builder», selon Wordfence. « Un site avec l’enregistrement de l’utilisateur désactivé ou aucun de ces plugins n’est installé ne serait pas affecté par cette vulnérabilité. »

La faille XSS d’Orbit Fox

Le problème de gravité moyenne survient parce que les contributeurs et les auteurs peuvent ajouter des scripts aux articles, même s’ils ne disposent pas de la capacité unfiltered_html en raison de la fonctionnalité de script d’en-tête et de pied de page dans Orbit Fox, selon Wordfence.

orbit fox

«Cette faille permettait aux utilisateurs de niveau inférieur d’ajouter du JavaScript malveillant aux publications qui s’exécuteraient dans le navigateur chaque fois qu’un utilisateur accédait à cette page», ont expliqué les chercheurs. «Comme toujours avec les vulnérabilités XSS, cela permettrait aux attaquants de créer de nouveaux utilisateurs administratifs, d’injecter des redirections et des portes dérobées malveillantes, ou de modifier d’autres contenus de site grâce à l’utilisation de JavaScript malveillant.»

Les deux vulnérabilités d’Orbit Fox sont corrigés dans la version 2.10.3. Ces sites exécutant les versions 2.10.2 ou inférieures d’Orbit Fox doivent être mis à jour dès que possible.

Les problèmes de plugins WordPress

Les failles d’Orbit Fox ne sont pas les premières vulnérabilités de plugins WordPress qui sont apparues ces derniers mois.

En Octobre, deux vulnérabilités de haute gravité dans Post Grid, un plugin WordPress avec plus de 60 000 installations, ont été découvertes et permettait de prendre le contrôle de sites. Pour commencer, des failles presque identiques se trouvent également dans le plug-in sœur de Post Grid, Team Showcase, qui compte 6 000 installations.

En Septembre, une faille très grave dans le plugin Email Subscribers & Newsletters d’Icegram a été trouvée et affectait plus de 100 000 sites Web WordPress.

Auparavant, en Août, un plugin conçu pour ajouter des quiz et des enquêtes aux sites Web WordPress avait patché deux vulnérabilités critiques. Les failles pouvaient être exploitées par des attaquants distants et non authentifiés pour lancer diverses attaques, y compris en prenant complètement le contrôle de sites Web vulnérables. Également en Août, Newsletter, un plugin WordPress avec plus de 300 000 installations, contenait une paire de vulnérabilités qui pourraient conduire à l’exécution de code et même à la prise de contrôle du site.

Et, en Juillet, les chercheurs ont mis en garde contre une vulnérabilité critique dans un plugin WordPress appelé Comments – wpDiscuz, qui est installé sur plus de 70 000 sites Web. La faille a donné aux attaquants non authentifiés la possibilité de télécharger des fichiers arbitraires (y compris des fichiers PHP) et d’exécuter finalement du code à distance sur des serveurs de sites Web vulnérables.

Laisser un commentaire