Automattic, éditeurs du plugin WooCommerce, a annoncé la découverte et le patch d’une vulnérabilité critique dans le plugin WooCommerce Payments.
La vulnérabilité permet à un attaquant d’obtenir des informations d’identification de niveau administrateur et d’effectuer une prise de contrôle complète du site.
L’administrateur est le rôle d’utilisateur d’autorisation le plus élevé dans WordPress, accordant un accès complet à un site WordPress avec la possibilité de créer plus de comptes de niveau administrateur ainsi que la possibilité de supprimer l’intégralité du site Web.
Ce qui rend cette vulnérabilité particulière très préoccupante, c’est qu’elle est disponible pour les attaquants non authentifiés, ce qui signifie qu’ils n’ont pas à acquérir d’abord une autre autorisation pour manipuler le site et obtenir un rôle d’utilisateur de niveau administrateur.
Le fabricant de plugins de sécurité WordPress Wordfence a décrit cette vulnérabilité :
« Après avoir examiné la mise à jour, nous avons déterminé qu’elle supprimait le code vulnérable qui pouvait permettre à un attaquant non authentifié de se faire passer pour un administrateur et de prendre complètement le contrôle d’un site Web sans aucune interaction de l’utilisateur ni ingénierie sociale. »
La plate-forme de sécurité du site Web Sucuri a publié un avertissement sur la vulnérabilité qui va plus en détail.
Sucuri explique que la vulnérabilité semble se trouver dans le fichier suivant :
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
Ils ont également expliqué que le « correctif » mis en œuvre par Automattic consiste à supprimer le fichier.
Sucuri observe :
« Selon l’historique des modifications du plugin, il semble que le fichier et sa fonctionnalité aient été tout simplement supprimés. »
Le site Web WooCommerce a publié un avis expliquant pourquoi ils ont choisi de supprimer complètement le fichier concerné :
« Parce que cette vulnérabilité avait également le potentiel d’avoir un impact sur WooPay, un nouveau service de paiement en phase de test bêta, nous avons temporairement désactivé le programme bêta. »
La vulnérabilité du plugin de paiement WooCommerce a été découverte le 22 mars 2023 par un chercheur en sécurité tiers qui a notifié Automattic.
Automattic a rapidement publié un correctif.
Les détails de la vulnérabilité seront publiés le 6 avril 2023.
Cela signifie que tout site qui n’a pas mis à jour ce plugin deviendra vulnérable.
Quelle version du plugin WooCommerce Payments est vulnérable
WooCommerce a mis à jour le plugin vers la version 5.6.2. Ceci est considéré comme la version la plus à jour et non vulnérable du site Web.
Automattic a poussé une mise à jour forcée mais il est possible que certains sites ne l’aient pas reçue.
Il est recommandé à tous les utilisateurs du plugin concerné de vérifier que leurs installations sont mises à jour vers la version WooCommerce Payments Plugin 5.6.2
Une fois la vulnérabilité corrigée, WooCommerce recommande de prendre les mesures suivantes :
« Une fois que vous exécutez une version sécurisée, nous vous recommandons de vérifier la présence d’utilisateurs ou de publications inattendus sur votre site. Si vous trouvez des preuves d’activité inattendue, nous suggérons :
Mettre à jour les mots de passe de tous les utilisateurs administrateurs de votre site, en particulier s’ils réutilisent les mêmes mots de passe sur plusieurs sites Web.
Rotation de toutes les clés API Payment Gateway et WooCommerce utilisées sur votre site. Voici comment mettre à jour vos clés API WooCommerce. Pour réinitialiser d’autres clés, veuillez consulter la documentation de ces plugins ou services spécifiques.
Lisez l’explication de la vulnérabilité WooCommerce :
Vulnérabilité critique corrigée dans les paiements WooCommerce – Ce que vous devez savoir
