Automattic, la société à l’origine du système de gestion de contenu WordPress, installe de force une mise à jour de sécurité sur des centaines de milliers de sites Web exécutant les très populaires paiements WooCommerce pour les magasins en ligne.

Le correctif corrige une vulnérabilité critique qui peut permettre à des attaquants non authentifiés d’obtenir un accès administrateur aux magasins vulnérables.

Cette faille a été signalée par Michael Mazzolini de GoldNetwork, et elle affecte WooCommerce Payments 4.8.0 et supérieur.

WordFence indique que des attaquants non authentifiés peuvent exploiter le bogue pour « se faire passer pour un administrateur et prendre complètement le contrôle d’un site Web sans aucune interaction de l’utilisateur ou ingénierie sociale requise », tandis que Patchstack avertit que puisque « cette vulnérabilité ne nécessite aucune authentification, il est très probable qu’elle sera massive- exploitée très bientôt. »

L’équipe WooCommerce l’a corrigé dans les mises à jour de sécurité publiées plus tôt dans la journée et affirme n’avoir trouvé aucune preuve que ce bogue critique est ciblé ou exploité dans la nature.

« Pour le moment, nous n’avons aucune preuve que la vulnérabilité a été exploitée au-delà de son identification dans notre propre programme de test de sécurité. Nous ne pensons pas qu’aucune donnée de magasin ou de client n’ait été compromise à la suite de cette vulnérabilité », a déclaré Beau Lebens, responsable de l’ingénierie chez WooCommerce.

« Nous avons immédiatement désactivé les services concernés et atténué le problème pour tous les sites Web hébergés sur WordPress.com, Pressable et WPVIP. »

Mise à jour de sécurité déployée sur certains sites vulnérables
Les boutiques en ligne vulnérables WooCommerce hébergées sur WordPress.com sont en cours de mise à jour ou ont déjà été mises à jour pour corriger la vulnérabilité.

« Nous avons envoyé un correctif et travaillé avec l’équipe des plugins WordPress.org pour mettre à jour automatiquement les sites exécutant WooCommerce Payments 4.8.0 à 5.6.1 vers les versions corrigées. La mise à jour est actuellement déployée automatiquement dans autant de magasins que possible », Lebens ajoutée.

Les administrateurs qui hébergent une installation WordPress sur leurs propres serveurs devront mettre à jour manuellement WooCommerce en suivant la procédure suivante :

  • Dans votre tableau de bord WP Admin, cliquez sur l’élément de menu Plugins et recherchez WooCommerce Payments dans votre liste de plugins.
  • Le numéro de version doit être affiché dans la colonne Description à côté du nom du plug-in. Si ce numéro correspond à l’une des versions corrigées répertoriées ci-dessous, aucune autre action n’est nécessaire.
  • Si une nouvelle version est disponible au téléchargement, vous devriez voir un avis vous guidant pour mettre à jour WooCommerce Payments – veuillez continuer et faites-le.

Versions corrigées de WooCommerce Payments : 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 et 5.6.2.

Vérifiez les signes de compromission
Après avoir sécurisé leurs magasins, les administrateurs sont invités à vérifier les utilisateurs administrateurs nouvellement ajoutés et les publications suspectes ajoutées à leurs sites Web.

Si vous trouvez des preuves d’une activité inattendue, vous devez immédiatement mettre à jour tous les mots de passe administrateur et faire pivoter les clés de la passerelle de paiement et de l’API WooCommerce.

« Nous vous recommandons également de modifier toutes les données privées ou secrètes stockées dans votre base de données WordPress/WooCommerce. Cela peut inclure des clés API, des clés publiques/privées pour les passerelles de paiement, etc., selon la configuration particulière de votre magasin », a déclaré Lebens.

« Nous encourageons toute personne qui prend en charge ou développe pour d’autres marchands WooCommerce à partager ces informations et à s’assurer que leurs clients sur lesquels WooCommerce Payments est installé utilisent la version la plus récente de WooCommerce Payments. »

Ce plugin WordPress compte plus de 500 000 installations actives et peut être utilisé pour fournir aux clients du magasin un paiement facile à configurer et à gérer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *