Ben DAVAKAN

Vous êtes au bon endroit pour concrétiser vos ambitions sur le web. Parlons-en dès maintenant.
Ben DAVAKAN
+229 01 97 66 25 16

Maliciel Découvert Dans le Plugin Gravity Forms de WordPress

Maliciel Découvert Dans le Plugin Gravity Forms de WordPress

Maliciel Découvert Dans le Plugin Gravity Forms de WordPress

Maliciel Découvert Dans le Plugin Gravity Forms de WordPress

  • Développement web, Site web
Sommaire

La société de sécurité WordPress, Patchstack, a récemment publié un avis concernant une vulnérabilité majeure dans le plugin Gravity Forms, résultant d’une attaque par chaîne d’approvisionnement. Face à cette menace, Gravity Forms a réagi rapidement en proposant une mise à jour corrective.

Attaque par chaîne d’approvisionnement

Patchstack a observé une attaque sur un plugin WordPress où des assaillants ont chargé une version infectée du plugin directement dans le dépôt de l’éditeur, tout en récupérant d’autres fichiers à partir d’un nom de domaine similaire au domaine officiel. Cette situation a entraîné une compromission sérieuse des sites web utilisant ce plugin.

Une attaque semblable a été remarquée dans le cas de Gravity Forms, et l’éditeur a rapidement pris les mesures nécessaires. Les attaquants ont inséré un code malveillant dans Gravity Forms, spécifiquement dans le fichier gravityforms/common.php. Ce code provoquait des requêtes HTTP POST vers le domaine frauduleux gravityapi.org, enregistré quelques jours avant l’attaque et contrôlé par l’assaillant.

Le plugin compromis transférait des informations détaillées sur le site et le serveur vers le serveur de l’attaquant, tout en permettant l’exécution de code à distance sur les sites infectés. Dans le cadre d’un plugin WordPress, une vulnérabilité d’exécution de code à distance (RCE) se produit lorsqu’un attaquant peut exécuter un code malveillant sur un site ciblé depuis un emplacement distant.

Patchstack a précisé l’étendue de la vulnérabilité :

“…elle peut exécuter plusieurs processus :

  • Télécharger un fichier arbitraire sur le serveur.
  • Lister tous les comptes utilisateurs sur le site WordPress (ID, nom d’utilisateur, email, nom affiché).
  • Supprimer n’importe quel compte utilisateur sur le site WordPress.
  • Effectuer des listings de fichiers et de répertoires arbitraires sur le serveur WordPress.”

Cette dernière fonctionnalité signifie que l’attaquant peut accéder à n’importe quel fichier, quelles que soient les permissions, y compris le fichier wp-config.php qui contient les identifiants de la base de données.

Réaction de Gravity Forms

RocketGenius, l’éditeur de Gravity Forms, a réagi sans tarder en publiant dès le même jour une version corrigée du plugin. Le bureau de registraire de domaines, Namecheap, a suspendu le domaine frauduleux, bloquant ainsi toute communication entre les sites compromis et les attaquants.

Gravity Forms a également mis à disposition une mise à jour du plugin, version 2.9.13. Les utilisateurs sont encouragés à envisager de mettre à jour vers la version la plus récente.

Pour plus d’informations, consultez Patchstack :

Malware détecté dans le plugin officiel Gravity Forms, indiquant une violation de la chaîne d’approvisionnement

Image présentée par Shutterstock/Warm_Tail

Conclusion

Cette situation met en lumière l’importance de la sécurité des plugins WordPress et les menaces croissantes posées par les attaques par chaîne d’approvisionnement. L’interconnexion et la dépendance au numérique n’ont jamais été aussi forte, rendant ainsi indispensable la vigilance face aux vulnérabilités potentielles. Les utilisateurs de Gravity Forms, ainsi que d’autres plugins, doivent rester informés sur les mises à jour de sécurité pour protéger leurs sites.

Expert web

Vous avez un projet web ? Discutons-en pour lui donner toutes les chances de réussir.

Discutez avec un expert
Derniers articles
Catégories d'articles
Stratégies marketing digital
E-commerce
Développement web