Un million de sites e-commerce menacés par un plugin Wordpress populaire

WordPress
(Crédit photo: Pixabay)

Des chercheurs en cybersécurité ont contribué à corriger plusieurs vulnérabilités, dissimulées dans un plugin WordPress extrêmement populaire et permettant d’exporter diverses informations sensibles depuis les sites affectés.

Les vulnérabilités, découvertes par les analystes de Wordfence, sont apparues dans le plugin OptinMonster qui se targue d'une base d'utilisateurs de plus d'un million de sites web.

OptinMonster permet de créer des campagnes de vente sur des sites WordPress sans trop d'efforts, grâce à l'utilisation de boîtes de dialogue. Wordfence explique que la grande majorité des fonctionnalités du plugin, ainsi que le site de l'application OptinMonster, reposent sur l'utilisation de points de terminaison API.

Sésame ouvre-toi

"Malheureusement, la majorité des points de terminaison REST-API n'ont pas été implémentés de manière sécurisée, ce qui a permis à des hackers non authentifiés d'accéder à de nombreux points de terminaison sur des sites exécutant une version vulnérable du plugin", explique Chloé Chamberland, spécialiste des cyber-menaces chez Wordfence. 

Dans sa description des vulnérabilités en question, Mme Chamberland note que l'un des points d'accès vulnérables aurait pu être exploité pour divulguer des données sensibles - telles que le chemin d'accès complet du site sur le serveur, ainsi que la clé API utilisée par le site Web pour effectuer des requêtes sur le site OptinMonster.

"En ayant accès à la clé API, un hacker pourrait modifier toute campagne associée au compte OptinMonster d'un site connecté et ajouter un JavaScript malveillant qui s'exécuterait chaque fois qu'une transaction serait effectuée sur le site exploité", ajoute Mme Chamberland.

Elle note que, de manière plutôt inquiétante, la vulnérabilité aurait pu être exploitée par n'importe quel visiteur du site web, sans aucune connaissance technique. 

Bien qu'aucun rapport ne fasse état de l'exploitation de ces vulnérabilités, le développeur du plugin a invalidé toutes les clés API, obligeant les utilisateurs à en générer de nouvelles. Il a également corrigé toutes les vulnérabilités et modifié le processus de création et d’édition des campagnes.

TOPICS
Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.