Vulnérabilité critique dans Fluent Forms : 600 000 sites WordPress concernés
Le 17 août 2025, une vulnérabilité d’injection d’objet PHP a été découverte dans le plugin Fluent Forms, utilisé par plus de 600 000 sites WordPress. Cette faille, signalée de manière responsable par le chercheur Webbernaut via le programme de bug bounty Wordfence, permet à un utilisateur authentifié d’exploiter une chaîne POP pour lire des fichiers arbitraires sur le serveur, y compris des fichiers sensibles comme wp-config.php.
Qu’est-ce que l’injection d’objet PHP ?
L’injection d’objet PHP est une faille qui exploite la manière dont PHP gère la sérialisation et la désérialisation des données. En PHP, la sérialisation permet de stocker des structures complexes, comme des objets, sous forme de chaînes de caractères. Si un plugin désérialise des données fournies par l’utilisateur sans vérification, un attaquant peut injecter un objet malveillant. Si la classe de cet objet contient des méthodes magiques comme __destruct, il est alors possible d’exécuter du code ou de manipuler des fichiers sur le serveur.
Prenons un exemple concret : une boutique en ligne pourrait avoir une classe Product avec des propriétés comme $price et $productName. Si un attaquant parvient à injecter un objet de cette classe avec la propriété $savedPriceFile pointant vers wp-config.php, la méthode __destruct pourrait supprimer ce fichier critique lors de la destruction de l’objet, compromettant ainsi tout le site.
Détails techniques de la faille dans Fluent Forms
Fluent Forms est un constructeur de formulaires avancé pour WordPress, très populaire pour sa simplicité d’utilisation et ses fonctionnalités dynamiques. Le plugin permet d’utiliser des codes intelligents, par exemple pour afficher le prénom d’un utilisateur connecté dans un formulaire.
Le problème se situe dans la fonction parseUserProperties() du plugin, qui désérialise des métadonnées utilisateur sans contrôle suffisant. Un utilisateur malveillant, même avec un simple rôle d’abonné, peut donc injecter un objet PHP dans ses propres métadonnées et exploiter la faille pour lire n’importe quel fichier du serveur.
La gravité de cette vulnérabilité est accentuée par la présence d’une chaîne POP dans le code du plugin, permettant la lecture de fichiers arbitraires. Si l’option allow_url_include est activée sur le serveur, l’attaque peut aller jusqu’à l’exécution de code à distance.
Versions concernées et correctif
- Versions vulnérables : 5.1.16 à 6.1.1
- Version corrigée : 6.1.2 (publiée le 29 août 2025)
- Score CVSS : 6.5 (moyenne)
Le premier correctif (6.1.0) comportait une erreur, rendant la version 6.1.2 indispensable pour une protection complète. Le patch ajoute la fonction Helper::safeUnserialize(), qui désérialise les données en interdisant la création d’objets PHP, bloquant ainsi l’exploitation de la faille.
Comment se protéger ?
Je recommande à tous les administrateurs WordPress utilisant Fluent Forms de mettre à jour immédiatement le plugin vers la version 6.1.2 ou supérieure. Pour cela, rendez-vous dans votre tableau de bord WordPress, section Extensions, et lancez la mise à jour.
En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète de votre site, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Si vous suspectez une compromission ou souhaitez un audit, contactez-nous sans attendre.
Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Cela vous garantit une tranquillité d’esprit et une réactivité maximale en cas d’incident.
Pour optimiser votre visibilité en ligne, nous offrons également des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés, afin de booster votre trafic tout en assurant la sécurité de votre site.
Chronologie de la divulgation
- 17 août 2025 : Découverte et signalement de la faille à Wordfence
- 20 août 2025 : Validation et transmission au développeur
- 27 août 2025 : Publication d’un premier correctif partiel (6.1.0)
- 29 août 2025 : Publication du correctif complet (6.1.2)
Conclusion
Cette vulnérabilité démontre l’importance de maintenir ses plugins à jour et de surveiller activement la sécurité de son site WordPress. Si vous utilisez Fluent Forms, vérifiez sans délai votre version et appliquez la mise à jour. N’hésitez pas à faire appel à nos services pour une intervention rapide, une maintenance proactive ou une optimisation SEO sur-mesure.
Pour toute question ou besoin d’assistance, contactez-moi directement. Votre sécurité est notre priorité.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
