Des vulnérabilités ont été découvertes dans un plugin WordPress populaire appelé Popup Builder qui pourrait permettre à des attaquants non authentifiés d'injecter du code JavaScript malveillant dans des fenêtres contextuelles afin de voler des informations et même potentiellement prendre le contrôle total des sites ciblés.
Le plugin donne aux propriétaires de sites la possibilité de créer, déployer et gérer des fenêtres contextuelles personnalisables à l'aide d'une gamme de contenus différents, du code HTML et JavaScript aux images et vidéos. Sygnoos, le développeur de Popup Builder, affirme que les entreprises peuvent l'utiliser pour augmenter leurs ventes et leurs revenus grâce à ses fenêtres contextuelles intelligentes qui peuvent être utilisées pour afficher des annonces, des demandes d'abonnement, des remises et d'autres contenus promotionnels.
Les failles de sécurité du plugin, qui affectent toutes les versions de Popup Builder jusqu'à la version 3.63, ont été découvertes pour la première fois par Ram Gall qui travaille en tant qu'ingénieur QA chez Defiant. Gall a fourni plus de détails sur la façon dont un attaquant utiliserait les vulnérabilités qu'il a trouvées dans le plugin dans un article de blog, disant:
"En général, les attaquants utilisent une vulnérabilité comme celle-ci pour rediriger les visiteurs du site vers des sites malveillants ou pour voler des informations sensibles à partir de leurs navigateurs, bien qu'elle puisse également être utilisée pour la prise de contrôle du site si un administrateur visitait ou prévisualisait une page contenant le popup infecté lors de sa connexion."
L'une des vulnérabilités découvertes par Gall dans le plug-in Popup Builder permet à un attaquant non authentifié d'injecter du code JavaScript malveillant dans n'importe quel popup publié et le code serait ensuite exécuté chaque fois qu'il serait chargé.
L'autre vulnérabilité permet à tout utilisateur connecté (avec des autorisations aussi faibles qu'un abonné) d'accéder aux fonctionnalités du plugin pour exporter les listes d'abonnés et les informations de configuration du système en utilisant une simple requête POST à admin-post.php.
Les failles de sécurité, suivies comme CVE-2020-10196 et CVE-2020-10195, ont toutes deux été corrigées par Sygnoos avec la sortie de la version 3.65.1 de Popup Builder, après que Gall a divulgué les bogues à la société.
Cependant, seuls 33 000 utilisateurs des plus de 100 000 utilisateurs du plugin ont mis à jour vers la dernière version, ce qui signifie que plus de 66 000 sites avec des versions précédentes de Popup Builder sont toujours vulnérables et pourraient être ciblés par des pirates.
Via BleepingComputer