Faille critique dans WooCommerce Payments : 500 000 sites WordPress vulnérables !
Le plugin WooCommerce Payments pour WordPress est affecté par une faille de sécurité critique ! Actif sur plus de 500 000 sites de e-commerce, cette faille de sécurité est une aubaine pour les pirates informatiques. Faisons le point.
Si un attaquant exploite cette faille de sécurité, il peut obtenir un accès administrateur au site affecté. D'après le bulletin de sécurité mis en ligne, plusieurs versions du plugin sont affectées : les versions 4.8.0 à 5.6.1. D'après Wordfence, qui a mis en ligne une alerte à ce sujet, cette vulnérabilité permet à un "attaquant non authentifié d'usurper l'identité d'un administrateur et de prendre complètement le contrôle d'un site web sans aucune interaction avec l'utilisateur, et sans recourir à de l'ingénierie sociale". Elle serait contenue dans le fichier "class-platform-checkout-session.php" de l'extension.
En réaction à cette faille de sécurité découverte par Michael Mazzolini de la société suisse GoldNetwork, les développeurs du plugin WooCommerce Payments ont mis en ligne plusieurs mises à jour sécurité. Voici la liste des versions permettant de se protéger : 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 et 5.6.2.
Dans le même temps, et compte tenu de la quantité très importante de sites à protéger, WooCommerce travaille avec les équipes de WordPress dans le but de chercher une solution pour mettre à jour automatiquement le plugin sur les sites qui s'appuient sur une version vulnérable. Si vous avez activé les mises à jour automatiques dans WordPress pour cette extension, votre site doit être déjà protégé, mais il est recommandé de s'en assurer.
En plus de la mise à jour, il est recommandé de vérifier la liste des comptes administrateurs actifs sur votre site, par précaution.
Pour le moment, Wordfence précise que cette faille de sécurité ne serait pas exploitée à grande échelle. Mais compte tenu de la criticité de la vulnérabilité et du nombre d'installations de cette extension, il y a des chances pour que des pirates travaillent actuellement sur un exploit. Prenez les devants et mettez à jour l'extension WooCommerce Payments si vous l'utilisez sur votre site WordPress.