Un correctif a été publié pour une faille de sécurité critique affectant le plugin WooCommerce Payments pour WordPress, installé sur plus de 500 000 sites web.
Si cette faille n’était pas résolue, un acteur malveillant pourrait obtenir un accès administrateur non autorisé aux boutiques en ligne concernées, selon l’avis publié par l’entreprise le 23 mars 2023. La vulnérabilité concerne les versions 4.8.0 à 5.6.1.
Autrement dit, ce problème permettrait à une “attaque non authentifiée d’usurper l’identité d’un administrateur et de prendre totalement le contrôle d’un site web sans aucune interaction de l’utilisateur ou ingénierie sociale nécessaire”, a déclaré la société de sécurité WordPress Wordfence.
La vulnérabilité semble résider dans un fichier PHP appelé “class-platform-checkout-session.php”, a noté le chercheur de Sucuri, Ben Martin.
Michael Mazzolini, de la société suisse de tests de pénétration GoldNetwork, est crédité de la découverte et du signalement de cette vulnérabilité.
WooCommerce a également indiqué avoir collaboré avec WordPress pour mettre à jour automatiquement les sites utilisant des versions vulnérables du logiciel. Les versions corrigées comprennent les 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 et 5.6.2.
De plus, les responsables du plugin de commerce électronique ont désactivé le programme bêta WooPay en raison des inquiétudes que le défaut de sécurité pourrait affecter le service de paiement en ligne.
Aucune preuve d’exploitation active de la vulnérabilité n’a été trouvée à ce jour, mais il est prévu qu’elle soit utilisée à grande échelle une fois qu’un concept de preuve sera disponible, a averti le chercheur de Wordfence, Ram Gall.
En plus de la mise à jour vers la dernière version, il est recommandé aux utilisateurs de vérifier s’il y a de nouveaux administrateurs ajoutés et, le cas échéant, de changer tous les mots de passe des administrateurs et de renouveler les clés API des passerelles de paiement et de WooCommerce.
