Des milliers de sites WordPress affectés par la vulnérabilité des plugins
Une nouvelle vulnérabilité grave a été découverte dans un autre modèle WordPress. La faille permet l'injection de code sur les pages exécutant le plugin, ainsi que le phishing via des scripts intersites.
Il semble qu'aucun mois ne puisse se passer sans qu'une nouvelle vulnérabilité de plugin WordPress n'apparaisse. Janvier ne fait pas exception à cette règle, avec la toute nouvelle vulnérabilité découverte par les chercheurs dans WP HTML Mail - un plugin WordPress qui permet aux utilisateurs de concevoir des modèles de courrier électronique personnalisés.
La vulnérabilité permet l'injection de code
La vulnérabilité a été codifiée sous le désignateur CVE-2022-0218 et a été découverte à l'origine par Chloe Chamberlain, chercheuse chez Wordfence. Le score CVSS attribué à la faille est de 8,3, ce qui la place bien dans le territoire de « haute gravité ».
Le défaut du plugin WP HTML Mail réside dans sa mauvaise gestion des routes REST-API utilisées par le plugin de modèle de courrier. Le plugin n'inclut aucune étape d'authentification pour accéder au point de terminaison REST-API, selon Chamberlain. Cela permettrait à un attaquant potentiel d'accéder librement aux thèmes du modèle d'e-mail, y compris la possibilité d'injecter un JS malveillant qui s'exécuterait lorsque l'administrateur légitime ouvrirait la page de l'éditeur de courrier.
L'étendue de l'accès que la vulnérabilité permet est un peu effrayante. Un pirate informatique potentiel pourrait injecter du code de porte dérobée, créer de nouveaux utilisateurs disposant de privilèges d'administrateur, configurer des redirections de pages et même utiliser des modèles d'e-mails légitimes créés précédemment pour envoyer des e-mails de phishing en utilisant la marque et le nom du site de la victime.
Des milliers de sites Web doivent être mis à jour
Le rapport de sécurité sur la faille du plugin mentionne que le plugin WP HTML Mail est compatible avec d'autres plugins très populaires, notamment WooCommerce et Ninja Forms. Selon les estimations, le plugin vulnérable est installé sur environ 20 000 sites Web.
Il est conseillé aux propriétaires de toutes ces pages de s'assurer immédiatement qu'ils exécutent la dernière version mise à jour de WP HTML Mail, dont la vulnérabilité a été corrigée. Au moment de la rédaction, cette version est la 3.1.