WooCommerce de WordPress a une faille de sécurité à corriger

Posted by

Si vous possédez un site Web construit sur WordPress et propulsé par le plugin WooCommerce, alors vous devez faire attention à une nouvelle vulnérabilité qui pourrait compromettre votre boutique en ligne.

WooCommerce de WordPress a une faille de sécurité à corriger

Simon Scannell, un chercheur de chez RIP Technologies GmbH, a découvert une vulnérabilité de suppression de fichiers arbitraire dans le plugin populaire WooCommerce qui pourrait permettre à un pirate ou un utilisateur privilégié compromis d’obtenir le plein contrôle sur les sites Web non patchés (corrigés).

WooCommerce alimente près de 35% des e-boutiques sur Internet, avec plus de 4 millions d’installations.

Exploiter WooCommerce File-Deletion (suppression de fichier)

“Shop Manager” ou gestionnaire de boutique d’éventuellement réinitialiser le mot de passe des comptes administrateur avant de prendre le contrôle complet du site.

“edit_users” (modifier utilisateurs), ce qui leur permet de modifier les comptes clients du magasin afin de gérer leurs commandes, leurs profils et leurs produits.

Dans , un compte avec la capacité “edit_users” par défaut est autorisé à modifier même un compte administrateur et réinitialiser son mot de passe.

Maintenant, selon Simon, un gestionnaire de magasin malveillant peut désactiver avec force le plugin WooCommerce en exploitant une vulnérabilité de suppression de fichier qui réside dans la fonction de journalisation de WooCommerce.

Cette vulnérabilité permet aux gestionnaires de magasin de supprimer tout fichier sur le serveur qui est accessible en écriture.

En supprimant le fichier principal de WooCommerce, WooCommerce.php, WordPress sera incapable de charger le plugin, alors il le désactivera.

Une fois le fichier supprimé, le plugin WooCommerce est désactivé, permettant aux gestionnaires de magasin de mettre à jour le mot de passe pour le compte administrateur, puis prendre le contrôle du site Web complet.

Mettez WooCommerce à jour avec le patch WordPress

Woocommerce version 3.4.6 le mois dernier.