Environ 300 000 sites WordPress menacés par une faille de sécurité critique dans Forminator !
Utilisée par des centaines de milliers de sites WordPress, l'extension Forminator contient une faille de sécurité critique permettant à un attaquant de charger un fichier malveillant sur le serveur où est hébergé le site web. Faisons le point sur cette menace.
L'extension Forminator, développée par WPMU DEV, sert à ajouter des formulaires de différents types à WordPress, dont des formulaires de paiements, ainsi que des quiz et des sondages.
Le CERT du Japon a mis en ligne un bulletin d'alerte au sujet de la faille de sécurité critique CVE-2024-28890 présente dans Forminator et associée à un score CVSS v3 de 9.8 sur 10. "Un attaquant distant peut obtenir des informations sensibles en accédant aux fichiers du serveur, modifier le site qui utilise le plugin et provoquer un déni de service.", peut-on lire.
Par ailleurs, ce n'est pas la seule faille de sécurité évoquée, puisqu'il y en a deux autres avec une sévérité inférieure : la CVE-2024-31077, une injection SQL qui implique d'être administrateur du site WordPress pour être exploitée, et la CVE-2024-31857 (une vulnérabilité de type XSS).
Comment se protéger ?
Pour se protéger de ces trois failles de sécurité, vous devez installer Forminator 1.29.3. Cette version a été publiée le 8 avril 2024. L'extension Forminator compte plus de 500 000 installations actives, et depuis le 8 avril 2024, elle a été téléchargée environ 180 000 fois. Ce qui signifierait que la mise à jour de sécurité n'a pas été déployé sur environ 320 000 sites WordPress et qu'ils sont vulnérables à une attaque.
Pour le moment, rien n'indique qu'elles sont exploitées dans le cadre d'attaques. Néanmoins, cela pourrait évoluer compte tenu de la popularité de cette extension et du nombre de cibles potentielles.
En résumé : si vous utilisez l'extension Forminator sur votre site WordPress, vous devez passer sur la version 1.29.3 le plus rapidement possible pour vous protéger de ces 3 vulnérabilités.