Une faille critique a été découverte dans le plugin WordPress pour WooCommerce utilisé par 30 000 sites web

« Cette vulnérabilité permet à un attaquant d’accéder aux comptes des utilisateurs qui ont abandonné leur panier, qui sont généralement des clients mais qui peuvent s’étendre à d’autres utilisateurs de haut niveau lorsque les bonnes conditions sont réunies », a déclaré Wordfence de Defiant dans un avis.

Repérée comme CVE-2023-2986, la faille a été notée 9.8 sur 10 pour la sévérité dans le système de notation CVSS. Elle affecte toutes les versions du plugin, y compris et avant les versions 5.14.2.

Le problème, à la base, est un cas de contournement de l’authentification qui résulte de l’insuffisance des protections de chiffrement appliquées lorsque les clients sont informés qu’ils ont abandonné leur panier sur les sites de commerce électronique sans avoir effectué l’achat.

Plus précisément, la clé de chiffrement est codée en dur dans le plugin, ce qui permet à des acteurs malveillants de se connecter en tant qu’utilisateur ayant un panier abandonné.

« Toutefois, il est possible qu’en exploitant la vulnérabilité de contournement de l’authentification, un attaquant puisse accéder à un compte d’utilisateur administratif ou à un autre compte d’utilisateur de niveau supérieur s’il a testé la fonctionnalité de panier abandonné », a déclaré István Márton, chercheur en sécurité.

Après une divulgation responsable le 30 mai 2023, la vulnérabilité a été corrigée par le développeur du plugin, Tyche Softwares, le 6 juin 2023, avec la version 5.15.0. La version actuelle d’Abandoned Cart Lite pour WooCommerce est la 5.15.2.

Cette divulgation intervient alors que Wordfence a révélé une autre faille de contournement d’authentification impactant le plugin « Booking Calendar | Appointment Booking | BookIt » de StylemixThemes (CVE-2023-2834, CVSS score : 9.8) qui compte plus de 10 000 installations WordPress.

« Cela est dû à une vérification insuffisante de l’utilisateur lors de la prise de rendez-vous par le biais du plugin », a expliqué Márton. « Cela permet à des attaquants non authentifiés de se connecter en tant qu’utilisateur existant sur le site, tel qu’un administrateur, s’ils ont accès à l’adresse électronique.

La faille, qui affectait les versions 2.3.7 et antérieures, a été corrigée dans la version 2.3.8, qui a été publiée le 13 juin 2023.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.