La faille du plugin WordPress expose les utilisateurs de 20 000 sites à un risque de phishing

wordpress

Le plugin WordPress WP HTML Mail, installé sur plus de 20 000 sites, est vulnérable à une faille de haute gravité pouvant conduire à l’injection de code et à la distribution d’e-mails de phishing convaincants.

‘WP HTML Mail’ est un plugin utilisé pour concevoir des e-mails personnalisés, des notifications de formulaire de contact et des messages généralement personnalisés que les plates-formes en ligne envoient à leur public.

Le plugin est compatible avec WooCommerce, Ninja Forms, BuddyPress et autres. Bien que le nombre de sites qui l’utilisent ne soit pas important, beaucoup ont un large public, ce qui permet à la faille d’affecter un nombre important d’internautes.

Selon un rapport de l’équipe Threat Intelligence de Wordfence, un acteur non authentifié pourrait exploiter la faille identifiée comme « CVE-2022-0218 » pour modifier le modèle d’e-mail afin qu’il contienne des données arbitraires choisies par l’attaquant.

De plus, les pirates peuvent utiliser la même vulnérabilité pour envoyer des e-mails de phishing à toute personne enregistrée sur les sites compromis.

Points de terminaison d’API non protégés

Le problème réside dans l’enregistrement par le plug-in de deux routes REST-API utilisées pour récupérer et mettre à jour les paramètres du modèle d’e-mail.

Ces points de terminaison d’API ne sont pas suffisamment protégés contre les accès non autorisés, de sorte que même les utilisateurs non authentifiés peuvent appeler et exécuter les fonctions.

Comme Wordfence l’explique en détail dans son rapport:

Le plug-in enregistre le point de terminaison /themesettings, qui appelle la fonction saveThemeSettings ou la fonction getThemeSettings selon la méthode de requête.

Le point de terminaison REST-API utilisait la fonction permission_callback, cependant, elle était définie sur __return_true, ce qui signifiait qu’aucune authentification n’était requise pour exécuter les fonctions.

Par conséquent, tout utilisateur avait accès pour exécuter le point de terminaison REST-API pour enregistrer les paramètres de thème de l’e-mail ou récupérer les paramètres de thème de l’e-mail.

Les deux points de terminaison REST-API non protégés
Les deux API REST non protégées
Source : Wordfence

Outre la possibilité d’attaques de phishing, un adversaire pourrait également injecter du JavaScript malveillant dans le modèle de courrier, qui s’exécuterait chaque fois que l’administrateur du site accéderait à l’éditeur de courrier HTML.

Cela pourrait potentiellement ouvrir la voie à l’ajout de nouveaux comptes d’administrateur, rediriger les visiteurs du site vers des sites de phishing, injecter des portes dérobées dans les fichiers de thème et même prendre le contrôle complet du site.

Divulgation et correction

Wordfence a découvert et divulgué la vulnérabilité au développeur du plugin le 23 décembre 2021, mais ils n’ont reçu une réponse que le 10 janvier 2022.

La mise à jour de sécurité qui a corrigé la vulnérabilité est arrivée le 13 janvier 2022, avec la sortie de la version 3.1.

En tant que tel, tous les propriétaires et administrateurs de sites WordPress sont invités à vérifier qu’ils exécutent la dernière version de ‘WP HTML Mail’ brancher.