Les développeurs de Ninja Forms, un plugin WordPress avec plus d’un million d’installations, ont corrigé une vulnérabilité de sécurité très grave qui peut permettre aux attaquants d’injecter du code malveillant et de reprendre des sites Web à l’aide d’une version non corrigée du plugin.

La vulnérabilité est une contrefaçon de demande intersite (CSRF) qui mène à des attaques de script intersite stocké (Stored XSS) et elle affecte toutes les versions de Ninja Forms jusqu’à 3.4.24.2.

Les attaquants peuvent exploiter ce bogue Ninja Forms en incitant les administrateurs WordPress à cliquer sur des liens spécialement conçus qui injectent du code JavaScript malveillant dans le cadre d’un formulaire de contact nouvellement importé.

Ninja Forms est un plugin de création de formulaire qui permet aux utilisateurs de WordPress de créer des formulaires complexes en quelques minutes à l’aide d’un éditeur basé sur le glisser-déposer.

Formulaires avec code malveillant

Un attaquant peut abuser de la fonctionnalité du plugin pour remplacer tous les formulaires existants sur un site Web ciblé par un malveillant, comme détaillé dans les recherches publiées aujourd’hui par Wordfence QA Engineer Ram Gall.

Pour ce faire, les acteurs de la menace peuvent abuser du ninja_forms_ajax_import_form Fonction AJAX ajoutée par le mode «hérité» du plugin qui permet de revenir au style et aux fonctionnalités disponibles dans les anciennes versions.

Cette fonction ne vérifie pas si les demandes proviennent d’utilisateurs légitimes et permet ainsi d’usurper les demandes à l’aide d’une session administrateur après avoir cliqué sur un lien spécialement conçu et importer des formulaires contenant du code JavaScript malveillant.

Tous les formulaires existants sur le site attaqué peuvent également être remplacés par des formulaires malveillants après avoir manipulé leur paramètre formID $ _POST.

« Selon l’endroit où le JavaScript a été placé dans le formulaire importé, il peut être exécuté dans le navigateur d’une victime chaque fois qu’elle visite une page contenant le formulaire, chaque fois qu’un administrateur visite la page d’importation / exportation du plug-in ou chaque fois qu’un administrateur tente de modifier l’un des les champs du formulaire « , a expliqué Gall.

« Comme si…