WooCommerce corrige une faille exposant 5 millions de sites au vol de données

0

WooCommerce, le plugin de commerce électronique populaire pour le système de gestion de contenu WordPress a été mis à jour pour corriger une vulnérabilité sérieuse qui pourrait être exploitée sans authentification.

Les administrateurs sont invités à installer la dernière version de la plate-forme car la faille affecte plus de 90 versions à partir de la version 5.5.0.

Détenu par Automattic, la société derrière le service de blog WordPress.com, le plugin WooCommerce compte plus de cinq millions d’installations.

Désinfection incorrecte

Dans un article publié récemment, l’équipe deWooCommerce déclare que le bogue est critique et qu’il affecte également le plugin WooCommerce Blocks qui permet d’afficher les produits sur les articles et les pages.

Les deux plugins ont reçu une mise à jour vers la version 5.5.1. Le correctif a été déployé sur les versions concernées (WooCommerce 3.3 à 5.5 et WooCommerce Blocks 2.5 à 5.5).

La vulnérabilité n’a pas encore reçu de numéro de suivi, mais son score de gravité a été calculé à 8,2 sur 10 par Patchstack, une société qui protège les sites WordPress des vulnérabilités des plugins.

Oliver Sild, le fondateur et PDG de Patchstack, fournit quelques détails techniques sur le bogue après avoir noté que le correctif élimine la faille en modifiant deux fichiers PHP qui permettaient d’injecter du code malveillant dans les instructions SQL sans avoir besoin de s’authentifier.

woocommerce patchstack
source: Patchstack

L’injection a été possible grâce à « une fonction de recherche de webhook qui a injecté le paramètre de recherche dans une requête SQL sans utiliser d’instruction préparée ».

Sild explique que malgré l’utilisation des fonctions sanitize_text_field et esc_like, ces dernières pouvaient être utilisées sans instruction préparée, ce qui n’arrive plus dans la version 5.5.1.

Quant au manque d’authentification, le chercheur affirme qu’il était dû à l’échappement incorrect du paramètre $attributes dans un point de terminaison public qui ne nécessitait pas d’authentification.

« Le paramètre $attributes de ce point de terminaison (ligne 86) est extrait de l’entrée utilisateur, puis traité et injecté dans une requête SQL qui n’a pas été correctement échappée », explique Sild.

Le chercheur a clarifié en outre que «la seule désinfection contre ce paramètre était la fonction sanitize_title (via wc_sanitize_taxonomy_name). Cependant, cela ne fournit pas une protection suffisante.

Risque d’exploitation de Woocommerce

Les installations WooCommerce affectées reçoivent actuellement le correctif automatiquement avec l’aide de l’équipe de plugin de WordPress.org. Les sites de la plateforme de blogs WordPress.com ont déjà reçu le correctif.

Dans le même temps, l’équipe de WooCommerce a envoyé un e-mail informant les utilisateurs de la vulnérabilité et que l’application du correctif est une précaution essentielle.

Un attaquant tirant parti de cette faille d’injection SQL pourrait obtenir des informations relatives au magasin, des détails administratifs et des données sur les commandes et les clients.

La vulnérabilité est exploitée à l’état sauvage. Wordfence a vu « des preuves extrêmement limitées » de tentatives de piratage, suggérant que les attaques sont très ciblées. En examinant les données, les chercheurs ont constaté que les attaques provenaient de trois adresses IP :

107.173.148.66
84.17.37.76
122.161.49.71

Le nombre d’attaques devrait augmenter lorsqu’un exploit devient plus largement disponible (le code de preuve de concept existe déjà mais l’accès est limité).

WooCommerce recommande fortement la mise à jour vers la dernière version suivie de la modification des mots de passe.

Les développeurs ont appris l’existence du bogue après qu’un chercheur en sécurité nommé Josh l’ait signalé via le programme de primes aux bogues d’Automattic sur HackerOne. Selon les informations sur les récompenses du programme et étant donné que WooCommerce a marqué la faille comme critique, le chercheur devrait obtenir une prime de 500$.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire