Des correctifs ont été publiés pour une faille de sécurité critique affectant le plugin WooCommerce Payments pour WordPress, qui est installé sur plus de 500 000 sites Web.
La faille, si elle n’est pas résolue, pourrait permettre à un acteur malveillant d’obtenir un accès administrateur non autorisé aux magasins concernés, a déclaré la société dans un avis le 23 mars 2023. Elle affecte les versions 4.8.0 à 5.6.1.
En d’autres termes, le problème pourrait permettre à un « attaquant non authentifié de se faire passer pour un administrateur et de prendre complètement le contrôle d’un site Web sans aucune interaction de l’utilisateur ou ingénierie sociale requise », a déclaré la société de sécurité WordPress Wordfence. a dit.
La vulnérabilité semble résider dans un fichier PHP appelé « class-platform-checkout-session.php », a déclaré Ben Martin, chercheur à Sucuri. indiqué.
Michael Mazzolini, de la société suisse de tests d’intrusion GoldNetwork, est crédité d’avoir découvert et signalé la vulnérabilité.
WooCommerce aussi a dit il a fonctionné avec WordPress pour mettre à jour automatiquement les sites utilisant les versions affectées du logiciel. Versions corrigées comprennent 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 et 5.6.2.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
En outre, les responsables du plugin de commerce électronique ont noté qu’il désactivait le programme bêta WooPay en raison de craintes que le défaut de sécurité puisse avoir un impact sur le service de paiement.
Il n’y a aucune preuve que la vulnérabilité ait été activement exploitée à ce jour, mais on s’attend à ce qu’elle soit militarisée à grande échelle une fois qu’une preuve de concept sera disponible, a averti le chercheur de Wordfence, Ram Gall.
Outre la mise à jour vers la dernière version, il est recommandé aux utilisateurs de vérifier les utilisateurs administrateurs nouvellement ajoutés et, le cas échéant, de modifier tous les mots de passe administrateur et de faire pivoter la passerelle de paiement et les clés API WooCommerce.