Des chercheurs en cybersécurité ont contribué à corriger plusieurs vulnérabilités, dissimulées dans un plugin WordPress extrêmement populaire et permettant d’exporter diverses informations sensibles depuis les sites affectés.
Les vulnérabilités, découvertes par les analystes de Wordfence, sont apparues dans le plugin OptinMonster qui se targue d'une base d'utilisateurs de plus d'un million de sites web.
OptinMonster permet de créer des campagnes de vente sur des sites WordPress sans trop d'efforts, grâce à l'utilisation de boîtes de dialogue. Wordfence explique que la grande majorité des fonctionnalités du plugin, ainsi que le site de l'application OptinMonster, reposent sur l'utilisation de points de terminaison API.
- Meilleurs antivirus 2021 : quelle solution choisir ?
- En complément de votre antivirus, optez pour les meilleurs VPN
- Vie privée : comment rester anonyme sur Internet et les réseaux sociaux ?
Sésame ouvre-toi
"Malheureusement, la majorité des points de terminaison REST-API n'ont pas été implémentés de manière sécurisée, ce qui a permis à des hackers non authentifiés d'accéder à de nombreux points de terminaison sur des sites exécutant une version vulnérable du plugin", explique Chloé Chamberland, spécialiste des cyber-menaces chez Wordfence.
Dans sa description des vulnérabilités en question, Mme Chamberland note que l'un des points d'accès vulnérables aurait pu être exploité pour divulguer des données sensibles - telles que le chemin d'accès complet du site sur le serveur, ainsi que la clé API utilisée par le site Web pour effectuer des requêtes sur le site OptinMonster.
"En ayant accès à la clé API, un hacker pourrait modifier toute campagne associée au compte OptinMonster d'un site connecté et ajouter un JavaScript malveillant qui s'exécuterait chaque fois qu'une transaction serait effectuée sur le site exploité", ajoute Mme Chamberland.
Elle note que, de manière plutôt inquiétante, la vulnérabilité aurait pu être exploitée par n'importe quel visiteur du site web, sans aucune connaissance technique.
Bien qu'aucun rapport ne fasse état de l'exploitation de ces vulnérabilités, le développeur du plugin a invalidé toutes les clés API, obligeant les utilisateurs à en générer de nouvelles. Il a également corrigé toutes les vulnérabilités et modifié le processus de création et d’édition des campagnes.
