Des bugs de Discount Rules for WooCommerce patchées pour le 3ème fois

Les sites de commerce électronique utilisant le plugin WordPress Discount Rules for WooCommerce sont invités à corriger deux failles de script intersite de haute gravité qui pourraient permettre à un attaquant de détourner un site ciblé. Deux correctifs pour les failles, d’abord disponibles le 22 août et le deuxième le 2 septembre, n’ont pas réussi à corriger le problème.

Une troisième série de correctifs pour les bogues est devenue disponible pour les clients le 9 septembre. Jeudi, les chercheurs de Wordfence Threat Intelligence, qui ont été informés des vulnérabilités, ont publiquement divulgué les failles et proposé une analyse technique.

«Nous vous recommandons vivement de mettre à jour vers la dernière version de ce plugin, actuellement 2.2.1, dès que possible, car les conséquences d’une brèche sur un site e-Commerce peuvent être graves», ont écrit des chercheurs de Wordfence.

Les coupons WooCommerce

Les deux vulnérabilités sont liées à l’implémentation par le développeur du code JavaScript asynchrone et XML (AJAX). Selon Flycart Technologies, les Discount Rules for WooCommerce permettent aux 3,3 millions de marchands actifs de WooCommerce d’utiliser l’add-on pour rationaliser les remises client et gérer les prix de manière dynamique. Les chercheurs estiment que Discount Rules for WooCommerce est actif sur environ 40 000 sites utilisant la plate-forme open source WooCommerce.

woocommerce

Les chercheurs identifient les failles comme des bogues de «contournement d’autorisation conduisant à des scripts intersites stockés». Les failles ont donné aux hackers un tremplin vers un éventuel compromis d’un site ciblé. De plus, la faille «permettait à tout visiteur du site d’ajouter, de modifier et de supprimer» des règles AJAX, leur permettant de visualiser les coupons existants.

La troisième fois est la bonne

Le 20 août, les chercheurs ont informé Flycart des failles affectant la version deux (V2) de Discount Rules for WooCommerce. Le 22 août, Flycart a déployé une solution «provisoire», offrant une protection partielle contre les attaques.

«Les vulnérabilités initialement corrigées dans le plugin étaient des actions AJAX présentes dans la base de code« v2 »du plugin… Malheureusement, le plugin maintenait une base de code «v1» distincte contenant une version antérieure de cette fonctionnalité. Toute personne visitant le site peut basculer entre la base de code v1 et v2 en visitant n’importe quelle page du site et en ajoutant un paramètre de chaîne de requête awdr_switch_plugin_to défini sur v1 ou v2 », ont écrit les chercheurs.

discount rules for woocommerce

Une fois que le plugin a été configuré pour utiliser la base de code «v1», ont-ils écrit, «un certain nombre d’actions AJAX sont devenues disponibles, offrant des fonctionnalités similaires aux actions corrigées dans «v2».»

«Par exemple, un attaquant pourrait envoyer une requête POST à ​​wp-admin/admin-ajax.php avec l’action définie sur savePriceRule ou saveCartRule et injecter du JavaScript malveillant dans l’un des champs d’une règle de remise en l’ajoutant au paramètre data. La prochaine fois qu’un administrateur afficherait ou modifierait les règles de remise, le JavaScript malveillant serait exécuté dans son navigateur. Cela pourrait conduire à la prise de contrôle du site en ajoutant une porte dérobée aux fichiers de plug-in ou de thème, en ajoutant un administrateur malveillant ou un tout autre nombre d’autres actions », a écrit Wordfence.

Le 2 septembre, Flycart publie un deuxième correctif qui corrige les vulnérabilités, mais laisse la fonctionnalité de changement de version vulnérable aux attaques de falsification de demandes intersites(CSRF), ont déclaré les chercheurs. Une semaine plus tard, le 9 septembre, Flycart a publié un correctif qui abordait les deux règles de réduction pour les problèmes de WooCommerce, ont déclaré des chercheurs.

La société indienne Flycart Technologies n’a pas encore répondu aux demandes de la presse demandant des commentaires sur ce rapport. On ne sait pas si les opérateurs du site WooCommerce devront télécharger des correctifs pour Discount Rules for WooCommerce ou si le plugin recevra une mise à jour automatique.

La version 2.2.1 de Discount Rules for WooCommerce peut être téléchargée ici.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x