La faille CVE-2024-11205 du plug-in WPForms de WordPress fait couler beaucoup d’encre, car ses conséquences peuvent directement toucher le portefeuille de millions de sites d’e-commerce (si l’on en croit les statistiques d’installation).
Le CERT Santé français résume la situation : « un défaut de contrôle des permissions dans la fonction wpforms_is_admin_page du plugin WordPress WPForms permet à un attaquant authentifié en tant qu’abonné de rembourser des paiements et d’annuler des abonnements ». L’attaque est simple, réalisable à distance, mais ne permet pas d’escalade des privilèges. Elle obtient le score de 8,5 en CVSS 3.1.
Comme son nom l’indique, WPForms permet de créer des formulaires. Le plug-in est développé par Awesome Motive. Les versions 1.8.4 à 1.9.2.1 sont touchées par cette vulnérabilité. WPForums 1.8.4 a été annoncée en septembre 2023, il y a donc plus d’un an, et proposait essentiellement de « nouveaux outils de paiement Stripe ».
Un correctif a été mis en place dans la version 1.9.2.2 du 18 novembre. Depuis une dizaine de jours, la 1.9.2.3 est disponible avec des corrections de bugs. Que ce soit avec la 1.9.2.2 ou la 1.9.2.3, il n’est à aucun moment fait mention d’un grave problème de sécurité dans les notes de version.
Si on peut comprendre la volonté de ne pas donner tous les détails dans un premier temps (pour laisser à un maximum d’utilisateur la possibilité de se mettre à jour), on ne peut que regretter qu’Awesome Motive ne précise pas à ses clients de se mettre à jour au plus vite pour des raisons de sécurité.
La brèche a été signalée par le chercheur en cybersécurité villu164 le 8 novembre à Wordfence, un plug-in spécialisé dans la sécurité pour WordPress. Le 14 novembre, la vulnérabilité était confirmée et les développeurs de WordForms prévenus.
La version corrigée du plug-in a été mise en ligne le 18 novembre par Awesome Motive, puis des détails techniques publiés le 9 décembre par Wordfence. Le chercheur villu164 a obtenu une récompense de 2 376 dollars (bug bounty) de la part de Wordfence, qui en profite pour faire sa pub.
En effet, ce plug-in propose des abonnements payants Premium à partir de 149 dollars par an (jusqu’à plus de 1 200 dollars par an) leur permettant d’avoir une protection plus rapide que les utilisateurs gratuits.
Dans le cas de la faille du jour, ils ont obtenu le 15 novembre « une règle de pare-feu pour les protéger contre tout exploit susceptible de cibler cette vulnérabilité », tandis que les autres doivent attendre le 15 décembre… soit six jours après la mise en ligne de la brèche et de ses détails.
Commentaires (7)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 12/12/2024 à 14h54
Boutade... mais qu'à moitié...
Le 12/12/2024 à 16h44
https://www.404media.co/wordpress-wp-engine-preliminary-injunction/
Le 12/12/2024 à 17h18
Mais c'est pour dire un peu le deux poids, deux mesures. Pour la prise de controle d'ACF, la sécurité a été avancé (en même temps, WP Engine ne pouvait plus mettre à jour son plugin, son accès à wordpress.org ayant été coupé). Le bogue était beaucoup moins grave que celui qui est présenté ici et a été corrigé très rapidement par WP Engine.
Et là, il faut attendre le 15 décembre pour les utilisateurs gratuits pour avoir le correctif. Si Matt veut être cohérent, il aurait du préempter le plugin. S'il ne le fait pas, ça peut se retourner contre lui dans le cadre du procès que lui intente WP Engine, car si j'étais avocat, c'est bien le genre de chose que je sortirai pour démonter les arguments de la partie adverse.
Le 12/12/2024 à 17h53
Le 12/12/2024 à 19h02
Le 12/12/2024 à 18h48
Le 12/12/2024 à 20h04