Il existe actuellement une faille de sécurité dans le plugin de formulaire Ninja Forms. Cela affecte toutes les versions jusqu’à la version 3.6.3 incluse. Selon wpscan.com, le scanner de sécurité de WordPress, le problème est que les entrées des champs qui sont transmis via la méthode POST n’étaient pas masquées.
La signification exacte des restrictions concernant les « utilisateurs à hauts privilèges » n’est pas encore claire. Dans tous les cas, des injections SQL potentielles seraient possibles. Cela permettrait vraisemblablement d’injecter des requêtes de base de données via les champs de saisie, qui pourraient alors lire ou manipuler les données.
Ninja Forms est un plugin WordPress largement utilisé qui permet de créer des formulaires que les visiteurs du site peuvent remplir. Étant donné que le calcul à partir d’un million n’est que très approximatif, le nombre réel de sites Web sur lesquels Ninja Forms est activé se situe entre un et deux millions. Ainsi, une grande partie du web serait affectée par la vulnérabilité.
Dépannage
La version actuelle 3.6.4 du plugin, publiée il y a environ 24 heures, corrige le problème. Les changelogs mentionnent la correction de l’écart :
(Image : Ninja Forms)
Actuellement, il n’existe pas de description détaillée de la manière dont cette vulnérabilité portant l’identifiant CVE-2021-24889 pourrait être exploitée. Mais le 4 novembre, les développeurs veulent publier une « preuve de concept » qui l’illustre. Il est fortement conseillé à tous les utilisateurs du plugin de mettre à jour Ninja Forms à la version 3.6.4 au plus tard à cette date.
Ninja Forms a déjà été affecté par une faille de sécurité il y a quelques semaines. Le problème survenu fin septembre concernait des requêtes non protégées via l’API REST, ce qui permettait aux attaquants de siphonner des données sensibles ou d’effectuer des injections de courrier électronique.