WordPress, une faille d’un plugin permet de forger des e-mails

Plus de 100 000 sites Web WordPress sont affectés par une faille de haute gravité dans un plugin qui aide les sites Web à envoyer des e-mails et des newsletters aux abonnés.

La vulnérabilité se trouve dans le plugin Email Subscribers & Newsletters d’Icegram, qui permet aux utilisateurs de collecter des prospects en envoyant des e-mails de notification automatisés pour les nouveaux articles de blog. Un attaquant distant et non authentifié peut exploiter la faille pour envoyer des e-mails falsifiés à tous les destinataires à partir des listes de contacts ou d’abonnés disponibles – avec un contrôle total sur le contenu et l’objet de l’e-mail.

Pour corriger la faille, les utilisateurs doivent «passer à la version 4.5.6 ou supérieure du plugin WordPress Email Subscribers & Newsletters d’Icegram», selon des chercheurs de Tenable, qui ont découvert la faille, dans un avis.

wordpress themegrill demo importer

La faille (CVE-2020-5780) a une note de 7,5 sur 10 sur l’échelle CVSS, ce qui la rend très grave. Elle affecte les versions 4.5.5 et antérieures du plugin WordPress Email Subscribers & Newsletters.

Le problème provient d’une vulnérabilité de falsification/usurpation d’e-mails dans la classe class-es-newsletters.php.

«Les utilisateurs non authentifiés peuvent envoyer une requête ajax au hook admin_init», a déclaré Alex Peña, ingénieur de recherche chez Tenable. “Cela déclenche un appel à la fonction process_broadcast_submission.”

En manipulant les paramètres de la requête, Peña a déclaré qu’un attaquant pourrait alors planifier une nouvelle diffusion vers une liste entière de contacts, en raison d’un manque de mécanisme d’authentification en place.

«Un utilisateur non authentifié ne devrait pas être capable de créer un message de diffusion», a-t-il déclaré.

wordpress code snippets

Dans un scénario d’attaque réel, un attaquant distant non authentifié pourrait d’abord envoyer une requête spécialement conçue à un serveur WordPress vulnérable. La requête planifierait ensuite l’envoi d’un nouveau bulletin d’information à une liste complète de contacts, où l’heure prévue, la liste de contacts, le sujet et le contenu de l’e-mail diffusé peuvent être arbitrairement définis par l’attaquant.

“Cela pourrait être utilisé pour effectuer une attaque d’hameçonnage ou une escroquerie, similaire à l’attaque récente de Twitter, où des individus d’une liste de diffusion d’une organisation particulière sont ciblés”, a déclaré Peña. “Comme l’e-mail proviendrait d’une source fiable, les destinataires sont plus susceptibles de faire confiance à la communication et d’être convaincus par son contenu.”

Les chercheurs ont informé les créateurs du plugin du problème le 26 août, un patch a été déployé le 8 Août.

WordPress et ses plugins

Les plugins WordPress se sont révélés criblés de failles au cours du mois dernier. Plus tôt en Août, un plugin conçu pour ajouter des quiz et des enquêtes aux sites Web WordPress a patché deux vulnérabilités critiques. Les failles pourraient être exploitées par des attaquants distants et non authentifiés pour lancer diverses attaques, y compris en prenant complètement le contrôle de sites Web vulnérables. Toujours en Août, Newsletter, un plugin WordPress avec plus de 300 000 installations, contenait une paire de vulnérabilités qui pourraient conduire à l’exécution de code et même à la prise de contrôle du site.

Et, en Juillet, les chercheurs ont mis en garde contre une vulnérabilité critique dans un plugin WordPress appelé Comments – wpDiscuz, qui est installé sur plus de 70 000 sites Web. La faille a donné aux attaquants non authentifiés la possibilité de télécharger des fichiers arbitraires (y compris des fichiers PHP) et d’exécuter finalement du code à distance sur des serveurs de sites Web vulnérables.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x