SEO

MALWORED découvert dans Gravity Forms WordPress Plugin

En annuaire
Aucun commentaire

La société de sécurité WordPress Patchstack a publié un avis sur une grave vulnérabilité des formes de gravité causées par une attaque en chaîne d’approvisionnement. Les formulaires de gravité ont répondu immédiatement et ont publié une mise à jour pour résoudre le problème.

Attaque de la chaîne d’approvisionnement

Patchstack a surveillé une attaque sur un plugin WordPress dans lequel les attaquants ont téléchargé une version infectée du plugin directement dans le référentiel de l’éditeur et ont récupéré d’autres fichiers à partir d’un nom de domaine similaire au domaine officiel. Cela, à son tour, a conduit à un grave compromis de sites Web qui utilisaient ce plugin.

Une attaque similaire a été observée sous des formes de gravité et a été immédiatement abordée par l’éditeur. Le code malveillant avait été injecté dans des formes de gravité (spécifiquement dans GravityForms / Common.php) par les attaquants. Le code a provoqué le plugin, lorsqu’il est installé, à faire des demandes de poste HTTP au domaine voyou Gravityapi.org, qui a été enregistré quelques jours avant l’attaque et contrôlé par l’attaquant.

Le plugin compromis a envoyé des informations détaillées sur le site et le serveur au serveur de l’attaquant et a permis une exécution de code distant sur les sites infectés. Dans le contexte d’un plugin WordPress, une vulnérabilité d’exécution de code distant (RCE) se produit lorsqu’un attaquant peut exécuter du code malveillant sur un site Web ciblé à partir d’un emplacement distant.

Patchstack a expliqué l’étendue de la vulnérabilité:

«… Il peut effectuer plusieurs processus:

  • Téléchargez un fichier arbitraire sur le serveur.
  • Répertoriez tous les comptes d’utilisateurs sur le site WordPress (ID, nom d’utilisateur, e-mail, nom d’affichage).
  • Supprimez tous les comptes d’utilisateurs sur le site WordPress.
  • Effectuez des listes de fichiers et de répertoires arbitraires sur le serveur WordPress. « 

Ce dernier signifie que l’attaquant peut afficher n’importe quel fichier, indépendamment des autorisations, qui incluraient le fichier WP-Config.php qui contient des informations d’identification de base de données.

Les formulaires de gravité répondent

RocketGenius, les éditeurs de Gravity Forms, a pris des mesures immédiates et a immédiatement téléchargé une version fixe du plugin immédiatement, le même jour. Le registraire du nom de domaine, Namecheap, a suspendu le domaine typosquatté voyou qui a effectivement empêché les sites Web compromis de contacter les attaquants.

Gravity Forms a publié une mise à jour du plugin, version 2.9.13. Les utilisateurs peuvent vouloir envisager de mettre à jour la toute dernière version.

En savoir plus sur Patchstack:

Les logiciels malveillants trouvés dans le plugin officiel des formulaires de gravité indiquant une violation de la chaîne d’approvisionnement

Image en vedette par Shutterstock / Warm_tail

Google explique comment aborder le contenu pour le référencement
90% du trafic de recherche d’IA ignore la stratégie mobile

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Se connecter

Vous n’avez pas encore de compte ? S’inscrire

Mot de passe oublié ?

S’inscrire

Réinitialiser le mot de passe

Veuillez saisir votre identifiant ou votre adresse e-mail. Un lien permettant de créer un nouveau mot de passe vous sera envoyé par e-mail.