Ah ! WordPress, sa facilité d'utilisation, son ultra-flexibilité grâce à des milliers de plugins… Et les failles à répétition qui vont avec. Si vous administrez un site de vente en ligne ou une plateforme d'abonnement, restez sur vos gardes.
Coup dur pour les administrateurs de sites WordPress : une faille critique a été découverte dans le plugin WPForms, utilisé par des millions de sites. D'après les chercheurs et chercheuses de WordFence, elle permettrait à de simples abonnés de demander des remboursements ou d’annuler des abonnements en toute discrétion via Stripe, plateforme de paiement en ligne utilisée par les entreprises pour gérer leurs transactions financières. Si rien ne permet, à ce stade, de confirmer son exploitation active, sa révélation publique doit vous pousser à vous jeter sur le correctif déjà disponible.
Des transactions financières potentiellement compromises sur 6 millions de sites
Le plugin WPForms, utilisé par plus de 6 millions de sites WordPress, est au cœur de la tourmente. En cause : une vulnérabilité critique (CVE-2024-11205 ; CVSS scoré à 8.5) détectée début novembre dans les versions 1.8.4 à 1.9.2.1 par l'un des participants au programme Bug Bounty de WordFence.
Dans le détail, la faille permet à des utilisateurs abonnés – soit ceux ayant le moins de privilèges – de manipuler des paiements Stripe. Un scénario catastrophe pour les sites d'e-commerce et les plateformes d’abonnement, dans la mesure où l’API Stripe vise à centraliser la gestion des transactions ponctuelles et récurrentes émises par CB, virements bancaires, Apple Pay, Google Pay et certaines cryptos.
Techniquement, la faille repose sur une mauvaise implémentation de la fonction wpforms_is_admin_ajax() dans WPForms. En temps normal, cette fonction se charge vérifier si une requête AJAX provient bien d'une action admin légitime sur le site. Mais dans le cas du plugin incriminé, elle se contente de valider l’origine de la requête sans contrôler les permissions de l’utilisateur ou de l’utilisatrice qui l’a déclenchée. Autrement dit, elle autorise l’accès à des actions critiques sans s’assurer que la personne a les droits nécessaires. Conséquence : même des comptes aux privilèges très limités, comme celui d’abonné, peuvent détourner cette fonction pour exploiter l’API Stripe, et ainsi effectuer des remboursements ou des annulations d’abonnements non autorisés.
Des solutions en urgence pour les administrateurs
Face à l’ampleur de la faille, les développeurs de WPForms ont rapidement réagi et déployé une mise à jour de sécurité (version 1.9.2.2) mi-novembre, visant à renforcer les contrôles des autorisations et verrouiller les accès aux fonctions critiques. Administrateurs et administratrices de sites WordPress, vous savez donc ce qu’il vous reste à faire : mettre à jour WPForms immédiatement.
S’il s’agit d’une première étape évidente, la prudence reste de mise. Outre l’application du patch, veillez à contrôler régulièrement les permissions des utilisateurs et utilisatrices, à surveiller activement les requêtes AJAX pour détecter toute tentative d’accès non autorisé, et à planifier des audits de sécurité pour garantir une protection optimale.
De manière plus générale, ce genre d’incident rappelle à quel point les plugins WordPress, aussi pratiques soient-ils, augmentent la surface d’attaque des sites web. La preuve par l’exemple : depuis la rentrée, les alertes s’enchaînent à un rythme soutenu. Rien qu’en octobre et en novembre, LiteSpeed Cache, utilisé par 6 millions de sites, essuyait sa deuxième faille en moins de deux mois, Jetpack (27 millions de sites) corrigeait enfin une vieille faille de 7 ans, et Anti-Spam by CleanTalk affrontait deux vulnérabilités hautement critiques, exposant 200 000 sites à des prises de contrôle malveillantes à distance.
Source : WordFence
29 novembre 2024 à 16h20
