L’équipe Wordfence Threat Intelligence surveille régulièrement les mises à jour des plugins et examine toute indication qu’un problème de sécurité potentiel a pu être résolu. Aujourd’hui, 23 mars 2023, nous avons constaté que le «Paiements WooCommerce – Solution entièrement intégrée conçue et prise en charge par Woo » Le plugin avait été mis à jour vers la version 5.6.2 avec une entrée de journal des modifications marquée simplement « Mise à jour de sécurité ».
Après avoir examiné la mise à jour, nous avons déterminé qu’elle supprimait le code vulnérable qui pouvait permettre à un attaquant non authentifié de se faire passer pour un administrateur et de prendre complètement le contrôle d’un site Web sans aucune interaction de l’utilisateur ou ingénierie sociale requise.
Nous avons développé une preuve de concept et avons immédiatement commencé à écrire et à tester une règle de pare-feu. La règle a été publiée le même jour, le 23 mars 2023 pour Wordfence Premium, Soins des motset Réponse Wordfence clients.
Quelle que soit la version de Wordfence que vous utilisez, nous vous invitons à mettre à jour immédiatement la dernière version du plugin WooCommerce Payments, qui est 5.6.2 au moment de la rédaction de cet article. WooCommerce Payments est installé sur plus de 500 000 sites, et il s’agit d’une vulnérabilité de gravité critique.
Informations sur la vulnérabilité
Le plugin WooCommerce Payments est une solution de paiement entièrement intégrée pour WooCommerce développée par Automattic. Malheureusement, il contenait des fonctionnalités conçues pour s’intégrer à la plateforme de paiement WooCommerce qui permettaient à des attaquants non authentifiés de se faire passer pour n’importe quel utilisateur sur le site dans certains contextes, qui pourraient ensuite être utilisées pour obtenir un accès complet au compte administrateur d’un site. Nous retenons des détails supplémentaires pour le moment afin de donner aux utilisateurs le temps de se mettre à jour.
Nous ne savons pas encore si cette vulnérabilité a été découverte en interne par Automattic ou signalée par un chercheur externe, et nous n’avons pas encore déterminé si elle est activement exploitée dans la nature.
Nous nous attendons à voir des attaques à grande échelle ciblant cette vulnérabilité une fois qu’une preuve de concept sera disponible pour les attaquants.
Conclusion
Dans le message d’intérêt public d’aujourd’hui, nous alertons notre base d’utilisateurs sur une vulnérabilité de gravité critique dans WooCommerce Payments, un plugin installé sur plus de 500 000 sites. Cette vulnérabilité permet à des attaquants non authentifiés de prendre complètement le contrôle d’un site vulnérable, et nous nous attendons à voir une exploitation massive dans un avenir proche. Nous recommandons à tous les utilisateurs de mettre à jour vers la dernière version disponible, qui est la 5.6.2 au moment de la rédaction de cet article.
Si votre site a Wordfence Premium, Soins des motsou Réponse Wordfence installé, votre site aura reçu aujourd’hui, 23 mars 2023, une règle de pare-feu le protégeant contre cette vulnérabilité. Si votre site exécute la version gratuite de Wordfence, la règle sera disponible dans 30 jours, le 22 avril 2023.
Si vous connaissez un ami ou un collègue qui utilise ce plugin sur son site, nous vous recommandons fortement de lui transmettre cet avis pour aider à protéger ses sites. Merci de sensibiliser la communauté WordPress à ce problème.
Si vous pensez que votre site a été compromis en raison de cette vulnérabilité ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via Soins des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse Wordfence offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire.
Si vous êtes chercheur en sécurité, vous pouvez divulguez-nous vos découvertes de manière responsable et obtenez un ID CVE et obtenez votre nom sur le Classement Wordfence Intelligence.
Source link