La base de données nationale des vulnérabilités du gouvernement américain a publié un avis concernant une vulnérabilité de script intersite stocké dans le populaire plugin Popup Maker pour WordPress.
Créateur de popups pour WordPress
Bien que le plugin n’existe que depuis 2021, il a connu une croissance phénoménale et a obtenu plus de 4 000 avis cinq étoiles.
Vulnérabilité du créateur de fenêtres contextuelles
La vulnérabilité affectant ce plugin est appelée script intersite stocké (XSS). Il est appelé « stocké » car un script malveillant est téléchargé sur le site Web et stocké sur le serveur lui-même. Les vulnérabilités XSS se produisent généralement lorsqu’une entrée ne parvient pas à nettoyer ce qui est téléchargé. Partout où un utilisateur peut saisir des données, il peut devenir vulnérable, il y a un manque de contrôle sur ce qui peut être téléchargé. Cette vulnérabilité spécifique peut se produire lorsqu’un pirate peut obtenir les informations d’identification d’un utilisateur avec au moins un niveau d’accès de contributeur qui lance l’attaque. La base de données nationale des vulnérabilités du gouvernement américain décrit la raison de la vulnérabilité et comment une attaque peut se produire : « Le plugin WordPress Popup Maker avant 1.16.9 ne valide pas et n’échappe pas à l’un de ses attributs de code court, ce qui pourrait permettre aux utilisateurs avec un rôle aussi bas que contributeur pour effectuer des attaques de type Stored Cross-Site Scripting. Un changelog officiel publié par l’auteur du plugin indique que l’exploit permet à une personne disposant d’un accès de niveau contributeur d’exécuter JavaScript.
Le journal des modifications du plugin Popup Maker pour la version V1.16.9 note :
« Sécurité : vulnérabilité XSS corrigée permettant aux contributeurs d’exécuter du JavaScript non filtré. » La société de sécurité WPScan (appartenant à Automattic) a publié une preuve de concept qui montre comment fonctionne l’exploit. “En tant que contributeur, mettez le shortcode suivant dans un post/page
[pum_sub_form name_field_type=”fullname” label_name=”Name” label_email=”Email” label_submit=”Subscribe” placeholder_name=”Name” placeholder_email=”Email” form_layout=”block” form_alignment=”center” form_style=”default” privacy_consent_enabled=”yes” privacy_consent_label=”Notify me about related content and special offers.” privacy_consent_type=”radio” privacy_consent_radio_layout=”inline” privacy_consent_yes_label=”Yes” privacy_consent_no_label=”No” privacy_usage_text=”If you opt in above we use this information send related content, discounts and other special offers.” redirect_enabled redirect=”javascript:alert(/XSS/)”]
Le XSS sera déclenché lors de la prévisualisation / de la visualisation de la publication / de la page et de la soumission du formulaire « Bien qu’il n’y ait aucune description de la gravité de l’exploit, en général, les vulnérabilités de Stored XSS peuvent avoir de graves conséquences, notamment la prise de contrôle complète du site, l’exposition des données de l’utilisateur et l’implantation de programmes cheval de Troie. Il y a eu des mises à jour ultérieures depuis la publication du correctif d’origine pour la version 1.16.9, y compris une mise à jour plus récente qui corrige un bogue introduit avec le correctif de sécurité. La version la plus récente du plugin Popup Maker est la V1.17.1. Les éditeurs qui ont installé le plug-in doivent envisager de mettre à jour la dernière version.
Citations
Lisez l’avis de la base de données nationale sur les vulnérabilités du gouvernement américain : CVE-2022-4381. Détails
Lire l’avis WPScan
Popup Maker < 1.16.9 - Contributeur + XSS stocké via le formulaire d'abonnement Image sélectionnée par Shutterstock/Asier Romero