WooCommerce 4.6.2 a été publié hier avec un correctif pour une vulnérabilité qui permettait la création de compte lors du paiement, même lorsque le paramètre «Autoriser les clients à créer un compte lors du paiement» est désactivé. L’équipe WooCommerce l’a découvert après plusieurs dizaines d’utilisateurs signalé leurs sites recevaient des commandes de spam ou des «commandes échouées» pour lesquelles les informations de paiement étaient fausses.

Le développeur de WooCommerce Rodrigo Primo a décrit comment le bot attaque les magasins:

L’essentiel est que le bot est capable de créer un utilisateur lors de la commande en exploitant le bogue corrigé par 4.6.2. Après avoir créé l’utilisateur, le bot tente de trouver des vulnérabilités dans d’autres plugins installés sur le site qui nécessitent un compte authentifié sans privilège.

WooCommerce recommande aux utilisateurs de mettre à jour vers 4.6.2 pour empêcher les bots de créer des utilisateurs lors du paiement, puis de supprimer tous les comptes que le bot a précédemment créés. Cela n’empêchera pas les robots de créer de fausses commandes, il est donc conseillé aux propriétaires de magasins de installer une protection anti-spam supplémentaire sur le marché WooCommerce. Certains utilisateurs du forum d’assistance essaient des plugins gratuits comme NoCaptcha avancé et Captcha invisible et Plugin de prévention de la fraude pour WooCommerce.

La première instance enregistrée s’est produit neuf jours avant que WooCommerce ne puisse publier un correctif. Entre-temps, certains utilisateurs ont signalé que l’URL de leur site avait été modifiée et d’autres tentatives de piratage. Dave Green, ingénieur WordPress chez Se contenter, a utilisé des fichiers journaux pour déterminer que le script repose sur l’exploitation d’autres vulnérabilités afin d’accéder à la base de données.

«Ce script crée la commande et est également susceptible d’exploiter toute vulnérabilité disponible pour contourner les paramètres du compte client et créer un nouvel utilisateur; il peut ou non s’appuyer sur d’autres exploits pour cela, »Green m’a dit.

«En supposant qu’il a réussi à accéder au système, il essaie ensuite de mettre à jour la base de données. Il échoue et vous laisse avec des commandes importunes ou réussit et dirige votre site vers l’URL frauduleuse. « 

L’équipe WooCommerce a également corrigé ce même bug dans Blocs WooCommerce 3.7.1, empêchant Checkout de créer des comptes lorsque le paramètre associé est désactivé.

WooCommerce n’a publié les noms d’aucune des extensions présentant des vulnérabilités exploitées par ce script. Cependant, un utilisateur signalé une attaque qui a coïncidé avec les fausses commandes:

J’ai eu une commande échouée hier avec des informations similaires à l’OP.

Au même moment où la commande échouée est arrivée, mon WAF a bloqué deux tentatives d’attaques du même utilisateur / IP (bbbb bbbb) pour «TI WooCommerce Wishlist <1.21.12 - Authenticated WP Options Change»

Le script a peut-être recherché une vulnérabilité dans le Liste de souhaits TI WooCommerce plugin, qui était patché il y a environ deux semaines. Le plugin est actif sur plus de 70 000 sites WordPress.

L’équipe WooCommerce recherche toujours l’origine et l’impact de cette vulnérabilité et publiera plus d’informations dès qu’elles seront disponibles.


Source link