La faille CVE-2024-11205 du plug-in WPForms de WordPress fait couler beaucoup d’encre, car ses conséquences peuvent directement toucher le portefeuille de millions de sites d’e-commerce (si l’on en croit les statistiques d’installation).
Le CERT Santé français résume la situation : « un défaut de contrôle des permissions dans la fonction wpforms_is_admin_page du plugin WordPress WPForms permet à un attaquant authentifié en tant qu’abonné de rembourser des paiements et d’annuler des abonnements ». L’attaque est simple, réalisable à distance, mais ne permet pas d’escalade des privilèges. Elle obtient le score de 8,5 en CVSS 3.1.
Comme son nom l’indique, WPForms permet de créer des formulaires. Le plug-in est développé par Awesome Motive. Les versions 1.8.4 à 1.9.2.1 sont touchées par cette vulnérabilité. WPForums 1.8.4 a été annoncée en septembre 2023, il y a donc plus d’un an, et proposait essentiellement de « nouveaux outils de paiement Stripe ».
Un correctif a été mis en place dans la version 1.9.2.2 du 18 novembre. Depuis une dizaine de jours, la 1.9.2.3 est disponible avec des corrections de bugs. Que ce soit avec la 1.9.2.2 ou la 1.9.2.3, il n’est à aucun moment fait mention d’un grave problème de sécurité dans les notes de version.
Si on peut comprendre la volonté de ne pas donner tous les détails dans un premier temps (pour laisser à un maximum d’utilisateur la possibilité de se mettre à jour), on ne peut que regretter qu’Awesome Motive ne précise pas à ses clients de se mettre à jour au plus vite pour des raisons de sécurité.
La brèche a été signalée par le chercheur en cybersécurité villu164 le 8 novembre à Wordfence, un plug-in spécialisé dans la sécurité pour WordPress. Le 14 novembre, la vulnérabilité était confirmée et les développeurs de WordForms prévenus.
La version corrigée du plug-in a été mise en ligne le 18 novembre par Awesome Motive, puis des détails techniques publiés le 9 décembre par Wordfence. Le chercheur villu164 a obtenu une récompense de 2 376 dollars (bug bounty) de la part de Wordfence, qui en profite pour faire sa pub.
En effet, ce plug-in propose des abonnements payants Premium à partir de 149 dollars par an (jusqu’à plus de 1 200 dollars par an) leur permettant d’avoir une protection plus rapide que les utilisateurs gratuits.
Dans le cas de la faille du jour, ils ont obtenu le 15 novembre « une règle de pare-feu pour les protéger contre tout exploit susceptible de cibler cette vulnérabilité », tandis que les autres doivent attendre le 15 décembre… soit six jours après la mise en ligne de la brèche et de ses détails.