Paiements WooCommerce, un plugin qui permet aux propriétaires de magasins WooCommerce d’accepter les paiements par carte de crédit et de débit et de gérer les transactions dans le tableau de bord WordPress, a corrigé une vulnérabilité de contournement d’authentification et d’escalade de privilèges avec un score CVSS de 9,8 (critique). Le plugin est actif sur plus de 500 000 sites Web.
Beau Lebens, responsable de l’ingénierie de WooCommerce, a publié un consultatif à propos de la vulnérabilité aujourd’hui, qui, selon lui, « pourrait permettre un accès administrateur non autorisé aux magasins concernés » si elle était exploitée. Il a été découvert par un chercheur en sécurité participant au programme HackerOne de WooCommerce.
WooCommerce a travaillé avec WordPress.org pour pousser une mise à jour forcée pour les sites exécutant les versions 4.8.0 à 5.6.1 de WooCommerce Payments vers les versions corrigées. De nombreux propriétaires de magasins ont désactivé les mises à jour automatiques pour garantir des tests appropriés avant la mise à jour. Maintenant que la vulnérabilité a été rendue publique, il est impératif que tous les magasins exécutant la version 4.8.0+ du plugin se mettent à jour manuellement dès que possible. Les sites WooCommerce hébergés sur WordPress.com, Pressable et WPVIP ont déjà été corrigés.
À l’heure actuelle, WooCommerce n’a aucune preuve de l’exploitation de la vulnérabilité, mais les ingénieurs du plug-in recommandent de vérifier la présence d’utilisateurs administrateurs ou de messages inattendus ajoutés au site. Le consultatif comprend plus de détails sur ce qu’il faut faire si vous pensez que votre site a été impacté. Par mesure de précaution, WooCommerce a temporairement désactivé le WooPay programme bêta puisque la vulnérabilité affecte ce nouveau service de paiement qu’ils ont testé en version bêta.
Source link