Le plugin “WordPress Calls to Action” touché par deux vulnérabilités (cross-site scripting)

Le plugin “WordPress Calls to Action” touché par deux vulnérabilités (cross-site scripting)

High-Tech Bridge, société de sécurité informatique, a annoncé la semaine dernière deux vulnérabilités dans le plugin “WordPress Calls to Action”. La faille de sécurité dont il fait l’objet est le cross-site scripting (faille XSS réfléchie). Elle permet aux pirates d’injecter du contenu dans une page web, permettant ainsi de créer des actions malveillantes sur les navigateurs web d’internautes victimes.

Le plugin WordPress Calls to Action

Ce plugin WordPress est utilisé pour créer un call to action (CTA) gratuit dans un site WordPress, surveiller les taux de conversion, exécuter des tests A/B (ou A/B testing) et des tests multivariés.

Selon High-Tech Bridge la faille de sécurité a un niveau de risque plutôt moyen. Il est important de noter que plus de 10 000 sites WordPress seraient exposés à cette vulnérabilité. On peut penser que 10 000 sites WordPress peuvent être instrumentalisés pour dépouiller les internautes de leurs informations confidentielles – carte bancaire, par exemple. Ils ouvrent au moins la porte à cette possibilité.

High-Tech Bridge estime que les versions 2.4.3 et antérieures peuvent être exploitées par cette attaque. Le développeur du plugin a été informé des vulnérabilités mais on peut voir qu’aucune mise à jour n’a été apportée.

Les dangers du Cross-site scripting

Voici ce que les pirates peuvent faire de votre site WordPress piraté :

• afficher un formulaire dans votre site web afin de tromper les internautes, notamment en leur demandant de saisir des informations d’authentification ;
• rediriger les internautes vers une page web leur demandant des informations confidentielles – on parle ici d’ingénierie sociale. Dans cet exemple la faille du Cross-site scripting expose les internautes à un danger équivalent au phishing.

Cette faille de sécurité ne touche pas spécialement ce plugin WordPress. Dans le passé les plugins WPTouch, All In one SEO, Google Analytics by Yoast, WordPress SEO, Jetpack, Broken-Link-Checker ont déjà eu cette faille. Cette liste de plugins est bien sûr non exhaustive, les chercheurs de Sucuri en ont dénombré entre 300 et 400.

Ne baissez pas la garde

Si votre site est attaqué, la relation de confiance qui existait entre votre site web et vos visiteurs/clients sera rompue. Soyez donc vigilants, mettez à jour vos plugins quand c’est possible, utilisez des plugins qui proviennent uniquement des sites de confiance, mettez à jour votre CMS et sauvegardez votre base de données aussi souvent que possible.

Sécurité pour tous : Mettez à jour #WordPress et ses plugins quand c'est possible. Cliquez pour tweeter

Des articles que vous pouvez lire :

• WordPress : une amplification des attaques par force brute
• Qu’attendez-vous pour passer à WordPress 4.3.x ?
• WordPress est-il faillible à cause des vulnérabilités découvertes dans 3 plugins ?
• WordPress : la mise à jour “automatique” du permalien est déconseillée
• “Votre site a été mis à jour vers WordPress […]” Pourquoi reçoit-on cet e-mail ?