Aujourd’hui, il a été révélé que le formulaire de contact WordPress populaire appelé Ninja Forms avait corrigé deux vulnérabilités, affectant plus d’un million d’installations WordPress. Cela représente une autre dans une liste croissante de vulnérabilités liées à l’API REST qui sont découvertes parmi de nombreux plugins WordPress.
Il faut réitérer qu’il n’y a rien de mal avec l’API WordPress REST elle-même. Les problèmes proviennent de la façon dont les plugins WordPress conçoivent leurs interactions avec l’API REST.
API REST WordPress
L’API WordPress REST est une interface qui permet aux plugins d’interagir avec le noyau WordPress. L’API REST permet aux plugins, thèmes et autres applications de manipuler le contenu WordPress et de créer des fonctionnalités interactives.
Publicité
Continuer la lecture ci-dessous
Cette technologie étend ce que le noyau WordPress peut faire.
Le noyau WordPress reçoit des données via l’interface API REST des plugins afin d’accomplir ces nouvelles expériences.
Cependant, comme toute autre interaction qui permet le téléchargement ou la saisie de données, il est important de « désinfecter » ce qui est saisi et qui est capable de faire la saisie, afin de s’assurer que les données sont celles attendues et conçues pour être reçues.
Le fait de ne pas désinfecter les entrées et de restreindre les personnes autorisées à saisir les données peut entraîner des vulnérabilités.
Et c’est exactement ce qui s’est passé ici.
Vulnérabilité de rappel des autorisations
Les deux vulnérabilités étaient le résultat d’un seul problème de validation de l’API REST, en particulier dans les rappels d’autorisations.
Publicité
Continuer la lecture ci-dessous
Le rappel des autorisations fait partie du processus d’authentification qui restreint l’accès aux points de terminaison de l’API REST aux utilisateurs autorisés.
La documentation officielle de WordPress décrit un point de terminaison en tant que fonction:
« Les points de terminaison sont des fonctions disponibles via l’API. Cela peut être des choses comme la récupération de l’index de l’API, la mise à jour d’un article ou la suppression d’un commentaire. Les points de terminaison exécutent une fonction spécifique, prennent un certain nombre de paramètres et renvoient des données au client.
Selon le Documentation de l’API REST WordPress:
« Les rappels d’autorisations sont extrêmement importants pour la sécurité avec l’API REST WordPress.
Si vous avez des données privées qui ne doivent pas être affichées publiquement, vous devez alors enregistrer des rappels d’autorisations pour vos points de terminaison.
Deux vulnérabilités des formulaires WordPress Ninja
Il y avait deux vulnérabilités qui étaient toutes deux liées à une erreur de rappel des autorisations lors de la mise en œuvre.
Il n’y a rien de mal avec l’API WordPress REST elle-même, mais la façon dont les fabricants de plugins l’implémentent peut entraîner des problèmes.
Voici les deux vulnérabilités :
- Divulgation d’informations sensibles
- API REST non protégée vers l’injection d’e-mails
Vulnérabilité de divulgation d’informations sensibles
La vulnérabilité de divulgation d’informations sensibles permettait à tout utilisateur enregistré, même abonné, d’exporter tous les formulaires qui avaient déjà été soumis sur le site Web. Cela inclut toutes les informations confidentielles que quelqu’un peut avoir soumises.
Publicité
Continuer la lecture ci-dessous
Ninja Forms avait un rappel d’autorisations qui vérifiait si un utilisateur était enregistré, mais il ne vérifiait pas si l’utilisateur disposait d’un niveau d’autorisation approprié pour exécuter une exportation en masse de tous les formulaires soumis via le plugin WordPress Ninja Forms.
Cet échec à vérifier le niveau d’autorisation de l’utilisateur est ce qui a permis à tout utilisateur enregistré, y compris un abonné à un site Web, d’exécuter une exportation en masse de tous les formulaires soumis.
L’API REST non protégée pour l’injection d’e-mails
Cette vulnérabilité était due au même rappel d’autorisations défectueux qui n’a pas réussi à vérifier le niveau d’autorisation de l’attaquant enregistré. La vulnérabilité a tiré parti d’une fonctionnalité Ninja Forms qui permet aux éditeurs de sites Web d’envoyer des notifications par courrier électronique en masse ou des confirmations par courrier électronique en réponse aux soumissions de formulaires.
Publicité
Continuer la lecture ci-dessous
La vulnérabilité d’injection d’e-mails a permis à un attaquant d’utiliser cette fonctionnalité spécifique de Ninja Forms pour envoyer des e-mails du site Web vulnérable à n’importe quelle adresse e-mail.
Cette vulnérabilité particulière avait la possibilité de lancer une prise de contrôle complète du site ou une campagne de phishing contre les clients d’un site Web.
Selon les chercheurs en sécurité de Wordfence qui ont découvert la vulnérabilité :
« Cette vulnérabilité pourrait facilement être utilisée pour créer une campagne de phishing qui pourrait amener des utilisateurs peu méfiants à effectuer des actions indésirables en abusant de la confiance dans le domaine utilisé pour envoyer l’e-mail.
En outre, une attaque de spear phishing plus ciblée pourrait être utilisée pour faire croire à un propriétaire de site qu’un e-mail provenait de son propre site.
Cela pourrait être utilisé pour amener un administrateur à saisir son mot de passe sur une fausse page de connexion, ou permettre à un attaquant de tirer parti d’une deuxième vulnérabilité nécessitant une ingénierie sociale, telle que Cross-Site Request Forgery ou Cross-Site Scripting, qui pourrait être utilisée. pour la reprise du site.
Publicité
Continuer la lecture ci-dessous
Mise à jour immédiate des formulaires Ninja recommandées
Les chercheurs en sécurité sont Wordfence recommandent aux utilisateurs du plugin WordPress Ninja Forms de mettre à jour leur plugin immédiatement.
La vulnérabilité est classée comme un danger de niveau moyen, avec une note de 6,5 sur une échelle de 1 à 10.
Citations
Lire l’annonce de Wordfence :
Comments are closed.