Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Fortinet découvre la vulnérabilité des scripts intersites du plugin WPForms Lite de WordPress

juillet 2020 par Fortinet

Le FortiGuard Labs de Fortinet a découvert une vulnérabilité de cross-site scripting (XSS) dans le plugin WordPress WP Forms Lite.

WPForms est un plugin WordPress populaire avec plus de 3 millions d’installations. WPForms vous permet de créer en quelques minutes de magnifiques formulaires de contact, de retour d’information, d’abonnement, de paiement et autres types de formulaires pour votre site.

Le plugin WP Forms (version 1.6.0.1 et inférieure) comporte une vulnérabilité de script intersite. La vulnérabilité est causée par un nettoyage incorrect des entrées de l’utilisateur dans le paramètre de l’étiquette de choix à l’intérieur du générateur de formulaires qui interagit avec la prévisualisation en direct.

Solutions
FortiGuard Labs a publié la signature IPS FortiGate suivante qui couvre cette vulnérabilité spécifique :

WordPress.WPFormsLite.FormBuilder.Plugin.XSS
Publié le 08 mai 2020
Mise à jour vers la dernière version - WPForms Lite v1.6.0.2 ou supérieure.

Calendrier
Fortinet a signalé la vulnérabilité de WpForms le 02 mai 2020
WPForms a confirmé la vulnérabilité le 4 mai 2020
WPForms a fixé la vulnérabilité le 21 mai 2020

Références

https://wordpress.org/plugins/wpforms-lite/#developers

Remerciements
Cette vulnérabilité a été découverte par Vishnupriya Ilango du FortiGuard Labs de Fortinet.

Abonnement IPS
Les clients qui s’abonnent au service de prévention des intrusions (IPS) de Fortinet doivent être protégés contre cette vulnérabilité avec les paramètres de configuration appropriés en place. Le service IPS de Fortinet est une composante des services d’abonnement FortiGuard, qui offrent également des solutions complètes telles que l’antivirus, le filtrage de contenu Web et des capacités antispam. Ces services permettent une protection contre les menaces tant au niveau des applications que du réseau.
Les services FortiGuard sont continuellement mis à jour par le FortiGuard Labs, ce qui permet à Fortinet d’offrir une combinaison de renseignements de sécurité multicouches et une véritable protection "zero-day" contre les menaces nouvelles et émergentes. Ces mises à jour sont fournies pour tous les produits FortiGate, FortiMail et FortiClient. Fortinet suit strictement les directives de divulgation responsable pour assurer une protection optimale pendant le cycle de vie d’une menace.


Voir les articles précédents

    

Voir les articles suivants