SEO

Les entrées de formulaire de contact WordPress Vulnérabilité du plugin affectent 70 000 sites Web

En annuaire
Aucun commentaire

Un avis de vulnérabilité a été émis pour un plugin WordPress qui enregistre les soumissions de formulaire de contact. Le défaut permet aux attaquants non authentifiés de supprimer des fichiers, de lancer une attaque de déni de service ou d’effectuer une exécution de code distante. La vulnérabilité a reçu une cote de gravité de 9,8 sur une échelle de 1 à 10, indiquant la gravité du problème.

Base de données pour le formulaire de contact 7, WPFORMS, Plugin Formor Elementor

La base de données pour le formulaire de contact 7, WPFORMS, les formulaires Elementor, également appelés le plugin d’entrées de formulaire de contact, enregistre les entrées de formulaire de contact dans la base de données WordPress. Il permet aux utilisateurs de visualiser les soumissions de formulaires de contact, de les rechercher, de les marquer en tant que lecture ou non lue, les exporter et effectuer d’autres fonctions. Le plugin compte plus de 70 000 installations.

Le plugin est vulnérable à l’injection d’objets PHP par un attaquant non authentifié, ce qui signifie qu’un attaquant n’a pas besoin de se connecter au site Web pour lancer l’attaque.

Un objet PHP est une structure de données dans PHP. Les objets PHP peuvent être transformés en une séquence de caractères (sérialisé) afin de les stocker puis désérialisés (transformés en objet). La faille qui donne naissance à cette vulnérabilité est que le plugin permet à un attaquant non authentifié d’injecter un objet PHP non fiable.

Si le site WordPress a également le plugin de contact 7 installé, il peut déclencher une chaîne pop pendant la désérialisation.

Selon le Advisory WordFence:

« Cela permet aux attaquants non authentifiés d’injecter un objet PHP. La présence supplémentaire d’une chaîne pop dans le plugin Formulaire de contact 7, qui est susceptible d’être utilisée, permet aux attaquants de supprimer des fichiers arbitraires, conduisant à un déni de service ou à une exécution de code distant lorsque le fichier WP-Config.php est supprimé. »

Toutes les versions du plugin jusqu’à et y compris 1.4.3 sont vulnérables. Il est conseillé aux utilisateurs de mettre à jour leur plugin vers la dernière version, qui à cette date est la version 1.4.5.

Image en vedette par Shutterstock / Tavizta

Google déploie des «  sources préférées  » pour les meilleurs histoires de la recherche
La vulnérabilité dans 3 plugins de fichiers WordPress affecte 1,3 million de sites

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Se connecter

Vous n’avez pas encore de compte ? S’inscrire

Mot de passe oublié ?

S’inscrire

Réinitialiser le mot de passe

Veuillez saisir votre identifiant ou votre adresse e-mail. Un lien permettant de créer un nouveau mot de passe vous sera envoyé par e-mail.