Les chercheurs de la société de sécurité Wordfence estiment que le risque d’une faille de sécurité dans le plugin « WordPress Email Template Designer – WP HTML Mail » est de élevé (CVE-2022-0218, CVSS 8.3). Les pirates pourraient abuser de cette faille sans se connecter à WordPress pour y introduire du code malveillant. Le plugin installé dans plus de 20.000 instances de WordPress sert à créer des e-mails transactionnels adaptés à l’image de l’entreprise pour des systèmes de boutique comme WooCommerce.

Les pirates ont pu déposer leurs propres modèles d’e-mails contenant du code JavaScript malveillant via l’API de plugin insuffisamment sécurisée, même sans se connecter. Si l’administrateur y accédait ensuite avec l’éditeur de modèles d’e-mails ou l’éditeur d’e-mails HTML, celui-ci s’exécutait. En outre, les pirates pourraient modifier les modèles d’e-mail de manière à ce que le site WordPress envoie des e-mails d’hameçonnage.

Mettre à jour maintenant

De telles vulnérabilités de cross-site scripting peuvent être exploitées pour injecter du code qui crée de nouveaux utilisateurs (administratifs), redirige les victimes vers des sites web malveillants, intègre des portes dérobées dans le thème ou les fichiers du plugin et bien plus encore, expliquent les chercheurs de WordFence dans leur message de sécurité. Cela signifie qu’après avoir exploité avec succès la faille, des attaquants non connectés pourraient obtenir un accès administratif à des sites WordPress dotés d’un plugin vulnérable, poursuivent les chercheurs en sécurité.

Dans la version 3.1 du plugin « WordPress Email Template Designer – WP HTML Mail », les développeurs ont comblé la faille de sécurité. Les administrateurs de WordPress devraient vérifier s’ils utilisent le plugin et, le cas échéant, le mettre à jour rapidement vers la version corrigée.