Un nouveau rapport de sécurité alerte sur une vulnérabilité activement exploitée dans un plugin WordPress extrêmement populaire, Popup Builder, utilisé sur plus de 800 000 sites. Cette faille critique permet à des attaquants non authentifiés d’injecter du JavaScript malveillant, ouvrant la voie à de vastes campagnes de redirection, de phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank ou de prise de contrôle.
Le plugin concerné : Popup Builder – Responsive Popups
Développé par Sygnoos, le plugin « Popup Builder » permet aux administrateurs de créer facilement des fenêtres contextuelles (pop-ups) pour la promotion de contenu, la capture d’e-mails ou les appels à l’action. S’il est largement utilisé pour ses fonctionnalités marketing, ce plugin contient une vulnérabilité critique (identifiée sous le CVE-2024-31083) qui le rend particulièrement dangereux dans son état non mis à jour.
Détails techniques de la vulnérabilité
La faille réside dans un manque de validation des entrées et de contrôles d’autorisation insuffisants, qui permettent à des attaquants non connectés d’injecter du JavaScript malveillant dans les popups. Cette attaque de type Cross-Site Scripting (XSS) peut être exploitée pour rediriger les visiteurs vers des sites frauduleux, voler des cookies de session ou injecter du code pour compromettre le site.
« Il suffit que l’utilisateur visite une page affichant un popup compromis pour que le code malveillant s’exécute dans son navigateur », expliquent les chercheurs de Wordfence, qui ont signalé la faille.
Le vecteur d’attaque est d’autant plus préoccupant que le plugin est souvent utilisé sur des sites très fréquentés et que le code malveillant peut s’exécuter avant même que les utilisateurs ne se connectent ou interagissent avec la page.
Exploitation active dans la nature
Des preuves montrent que la faille est activement exploitée par plusieurs groupes cybercriminels, dont certains spécialisés dans les campagnes de redirection vers des sites de phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank ou des malwares déguisés en mises à jour de navigateur.
Selon Wordfence, plus de 3 300 sites ont déjà été compromis, certains redirigeant automatiquement leurs visiteurs vers des domaines douteux hébergeant des charges utiles ou des pages d’hameçonnage. Dans de nombreux cas, les propriétaires des sites ne se rendent compte de l’intrusion qu’après avoir perdu une part importante de leur trafic ou après avoir été signalés comme malveillants par des moteurs de recherche.
Correctif et recommandations
Le développeur Sygnoos a publié un correctif dans la version 4.2.3 du plugin. Tous les administrateurs WordPress sont fortement encouragés à mettre à jour immédiatement leur installation, et à vérifier que leur site ne contient pas de contenu injecté à leur insu.
Les experts recommandent également de :
Scanner les bases de données et les fichiers pour tout code suspect ;
Examiner les popups déjà créés pour repérer des scripts inconnus ;
Mettre en place une solution de sécurité WordPress avec pare-feu et détection XSS ;
Limiter les autorisations de création/modification de popups aux rôles de confiance.
Une nouvelle piqûre de rappel pour l’écosystème WordPress
Cette faille illustre une fois de plus les risques liés à la dépendance excessive aux plugins tiers dans l’écosystème WordPress, qui représente plus de 40 % des sites web mondiaux. Si la plateforme reste très puissante et flexible, elle est aussi devenue un terrain de chasse privilégié pour les cybercriminels.
Les administrateurs de sites doivent donc adopter une posture de cybersécurité proactive, en tenant leurs plugins à jour, en limitant les extensions non essentielles, et en surveillant de près les accès utilisateurs et les anomalies comportementales.