L'indémodable Wordpress fait indirectement parler de lui aujourd'hui. En cause : un plugin très populaire touché par diverses failles.
Au total, ce sont des centaines de milliers de sites Web qui seraient en danger.
La fureur du Ninja (Forms)
L'ultra-populaire système de gestion de contenu gratuit Wordpress est fréquemment la cible de diverses attaques. Aujourd'hui, c'est un plugin très populaire de la plateforme qui est concerné, et qui affiche pas moins de quatre failles jugées « sévères ».
La victime dans cette nouvelle affaire, c'est le plugin Ninja Forms. Un gestionnaire de formulaire très complet, très simple d'accès et accessoirement activé en ce moment même sur plusieurs centaines de milliers de sites sous Wordpress.
Ainsi, les hackers peuvent tirer profit de la fonction wp_safe_redirect pour rediriger les propriétaires d'un site. Ces derniers pourraient notamment créer un lien avec un paramètre de redirection qui amènerait le propriétaire du site à une URL malveillante.
Une autre faille peut permettre à des personnes malveillantes d'intercepter le trafic mail, mais aussi d'accéder au dashboard général de Ninja Forms. La dernière faille permet quant à elle de déconnecter le protocole OAuth.
Heureusement, les auteurs du plugin expliquent que les différentes failles en question ont été corrigées via la mise à jour 3.4.34.1 de Ninja Forms. Un plugin qui a encore bénéficié de diverses mises à jour depuis, puisque Ninja Forms est désormais disponible en version 3.5.1 depuis quelques heures. À vos mises à jour donc !
Source : TechRadar
