Certains articles de veille peuvent faire l'objet de traduction automatique.
Une grave vulnérabilité d’authentification existait dans le plugin WordPress WooCommerce Payments, exploitant ce qui pourrait permettre un accès malveillant aux privilèges d’administrateur. Les développeurs du plugin ont corrigé la vulnérabilité, obligeant WordPress à forcer l’installation des mises à jour du plugin.
La vulnérabilité du plugin WooCommerce Payments a reçu un correctif sournois
Le chercheur en sécurité Michael Mazzolini de GoldNetwork a détecté une vulnérabilité de contournement d’authentification dans le plugin WooCommerce Payments WordPress.
Le plugin compte actuellement plus de 500 000 installations actives, ce qui suggère que toute vulnérabilité du plugin menace la sécurité de milliers de sites Web.
Tel qu’élaboré dans un poste des développeurs de plugins, le chercheur a signalé la vulnérabilité via son programme HackerOne, incitant les développeurs à corriger la faille.
Bien que les développeurs aient publié le correctif de vulnérabilité avec la version 5.6.2 du plug-in WooCommerce Payments, ils n’ont pas expliqué les détails dans le journal des modifications en plus de mentionner une description en deux mots de la «mise à jour de sécurité».
Cependant, Wordfence a plongé dans les détails et élaboré sur la faille. Comme expliqué dans leur message, le plugin présentait un problème de contournement d’authentification de gravité critique qui pouvait permettre à un adversaire non authentifié de se faire passer pour n’importe quel utilisateur du site. Une fois cela fait, l’attaquant pourrait obtenir des privilèges élevés sur le site, y compris un accès administrateur, ce qui pourrait menacer la sécurité du site cible. L’attaquant pourrait exécuter diverses actions ou prendre le contrôle du site avec un accès administrateur.
Au fur et à mesure que le rapport gagnait du terrain, les développeurs du plugin WooCommerce Payments ont partagé des détails via leur propre message, expliquant que le problème affectait les versions 4.8.0 à 5.6.1 du plugin. Par conséquent, les développeurs ont déployé le correctif avec la version 5.6.2, garantissant des mises à jour automatiques aux utilisateurs du site après avoir travaillé avec WordPress.org Plugins Team. Ainsi, alors que les administrateurs du site exécutant les versions de plug-in vulnérables recevront automatiquement les mises à jour, les développeurs exhortent toujours les utilisateurs à mettre à jour leurs sites rapidement pour éviter les exploits.
L’équipe Wordfence a également déclaré que la vulnérabilité pourrait gravement menacer la sécurité des sites Web si un PoC devenait disponible.
Parallèlement à la mise à jour des sites Web, les développeurs de plugins exhortent les utilisateurs à mettre à jour les informations d’identification de leur compte d’administrateur et à faire pivoter les clés de la passerelle de paiement et de l’API WooCommerce pour éliminer les risques.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire