Publié le 24 mars 2023, modifié le 2 mai 2024 par Lucie Blanchard

Automattic, éditeurs du plugin WooCommerce, a annoncé la découverte et le patch d’une vulnérabilité critique dans le plugin WooCommerce Payments.

  • Une vulnérabilité critique a été découverte dans le plugin WooCommerce Payments, permettant une prise de contrôle complète du site.
  • La vulnérabilité est disponible pour les attaquants non authentifiés, la rendant particulièrement préoccupante.
  • La plate-forme de sécurité Sucuri a publié un avertissement sur cette vulnérabilité et explique que le correctif mis en œuvre consiste à supprimer le fichier vulnérable.
  • Tous les propriétaires de sites exploitant ce plugin doivent s'assurer que leur version est mise à jour vers la version 5.6.2 ou ultérieure pour éviter toute exploitation future.

La vulnérabilité permet à un attaquant d’obtenir des informations d’identification de niveau administrateur et d’effectuer une prise de contrôle complète du site.

L’administrateur est le rôle d’utilisateur d’autorisation le plus élevé dans WordPress, accordant un accès complet à un site WordPress avec la possibilité de créer plus de comptes de niveau administrateur ainsi que la possibilité de supprimer l’intégralité du site Web.

Ce qui rend cette vulnérabilité particulière très préoccupante, c’est qu’elle est disponible pour les attaquants non authentifiés, ce qui signifie qu’ils n’ont pas à acquérir d’abord une autre autorisation pour manipuler le site et obtenir un rôle d’utilisateur de niveau administrateur.

Le fabricant de plugins de sécurité WordPress Wordfence a décrit cette vulnérabilité  :

« Après avoir examiné la mise à jour, nous avons déterminé qu’elle supprimait le code vulnérable qui pouvait permettre à un attaquant non authentifié de se faire passer pour un administrateur et de prendre complètement le contrôle d’un site Web sans aucune interaction de l’utilisateur ni ingénierie sociale. »

La plate-forme de sécurité du site Web Sucuri a publié un avertissement sur la vulnérabilité qui va plus en détail.

Sucuri explique que la vulnérabilité semble se trouver dans le fichier suivant  :

/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php

Ils ont également expliqué que le « correctif » mis en œuvre par Automattic consiste à supprimer le fichier.

Sucuri observe :

« Selon l’historique des modifications du plugin, il semble que le fichier et sa fonctionnalité aient été tout simplement supprimés. »

Le site Web WooCommerce a publié un avis expliquant pourquoi ils ont choisi de supprimer complètement le fichier concerné  :

« Parce que cette vulnérabilité avait également le potentiel d’avoir un impact sur WooPay, un nouveau service de paiement en phase de test bêta, nous avons temporairement désactivé le programme bêta. »

La vulnérabilité du plugin de paiement WooCommerce a été découverte le 22 mars 2023 par un chercheur en sécurité tiers qui a notifié Automattic.

Automattic a rapidement publié un correctif.

Les détails de la vulnérabilité seront publiés le 6 avril 2023.

Cela signifie que tout site qui n’a pas mis à jour ce plugin deviendra vulnérable.

Quelle version du plugin WooCommerce Payments est vulnérable

WooCommerce a mis à jour le plugin vers la version 5.6.2. Ceci est considéré comme la version la plus à jour et non vulnérable du site Web.

Automattic a poussé une mise à jour forcée mais il est possible que certains sites ne l’aient pas reçue.

Il est recommandé à tous les utilisateurs du plugin concerné de vérifier que leurs installations sont mises à jour vers la version WooCommerce Payments Plugin 5.6.2

Une fois la vulnérabilité corrigée, WooCommerce recommande de prendre les mesures suivantes  :

« Une fois que vous exécutez une version sécurisée, nous vous recommandons de vérifier la présence d’utilisateurs ou de publications inattendus sur votre site. Si vous trouvez des preuves d’activité inattendue, nous suggérons  :

Mettre à jour les mots de passe de tous les utilisateurs administrateurs de votre site, en particulier s’ils réutilisent les mêmes mots de passe sur plusieurs sites Web.

Rotation de toutes les clés API Payment Gateway et WooCommerce utilisées sur votre site. Voici comment mettre à jour vos clés API WooCommerce. Pour réinitialiser d’autres clés, veuillez consulter la documentation de ces plugins ou services spécifiques.

Lisez l’explication de la vulnérabilité WooCommerce  :

Vulnérabilité critique corrigée dans les paiements WooCommerce – Ce que vous devez savoir

FAQ

What is Woocommerce payments ?

WooCommerce Payments est une solution de paiement en ligne développée par WooCommerce, qui permet aux utilisateurs de créer facilement leur propre boutique en ligne et de gérer les transactions financières de manière sécurisée. Cette extension offre plusieurs options de paiement telles que les cartes bancaires, les portefeuilles numériques et les transferts bancaires pour faciliter l'expérience d'achat des clients.

Elle assure également un suivi détaillé des revenus et permet aux commerçants d'accéder rapidement à leurs fonds. En bref, Woocommerce Payments simplifie grandement le processus de paiement pour les entreprises en ligne.

How to implement online payments with Woocommerce ?

Pour mettre en place des paiements en ligne avec Woocommerce, vous devez tout d'abord activer une passerelle de paiement dans les paramètres de votre boutique. Ensuite, vous devrez créer un compte avec le fournisseur de paiement choisi et configurer les détails de votre compte pour qu'il soit compatible avec Woocommerce. Une fois que tout cela est fait, vos clients pourront payer leurs achats en ligne en toute sécurité et simplicité grâce à la fonctionnalité de paiement intégrée à Woocommerce.

Can Woocommerce be used for in person payments ?

Oui, Woocommerce peut être utilisé pour des paiements en personne car il offre la possibilité d'intégrer des terminaux de paiement sur les points de vente physiques. Cette fonctionnalité permet aux clients de payer leurs achats directement en magasin en utilisant leur carte bancaire ou leur smartphone. Cela facilite l'expérience d'achat et rend le processus de paiement plus rapide et plus sécurisé pour les clients et les commerçants.

Why does Woocommerce show an "invalid payment method" message ?

Woocommerce affiche un message "méthode de paiement invalide" lorsque la méthode de paiement choisie par l'utilisateur n'est pas disponible ou n'a pas été configurée correctement. Cela peut également être dû à une incompatibilité avec la version de Woocommerce utilisée ou à des problèmes techniques lors du processus de paiement. Il est donc important pour les commerçants en ligne de vérifier leurs paramètres de paiement et de s'assurer que toutes les méthodes disponibles sont correctement configurées pour éviter ce message d'erreur gênant pour les clients.

How can I test Woocommerece's payment functionality ?

Pour tester la fonction de paiement de Woocommerce, vous pouvez créer un site d'essai avec des produits fictifs et effectuer une transaction en utilisant différents modes de paiement. Vous pouvez également consulter les forums et tutoriels en ligne pour obtenir des conseils sur les paramètres de paiement à tester. Enfin, n'hésitez pas à contacter le support client de Woocommerce pour toute question ou difficulté rencontrée lors du processus de test.

Categories: SEO

Lucie Blanchard

Lucie Blanchard

S’abonner
Notification pour
guest

Commentaires
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x