Vulnérabilité critique WooCommerce, WordPress lance un patch urgent

Vulnérabilité critique WooCommerce, WordPress lance un patch urgent

WooCommerce a corrigé une vulnérabilité critique non spécifiée identifiée le 13 juillet 2021 par un chercheur en sécurité via le programme de sécurité HackerOne d’Automattic. La vulnérabilité affecte les versions 3.3 à 5.5 du plugin WooCommerce, ainsi que les versions 2.5 à 5.5 du plugin de fonctionnalité WooCommerce Blocks.

« Après avoir pris connaissance du problème, notre équipe a immédiatement mené une enquête approfondie, audité toutes les bases de code associées et créé un correctif correctif pour chaque version affectée (plus de 90 versions) qui a été déployé automatiquement dans les magasins vulnérables », a déclaré Beau Lebens, responsable de l’ingénierie de WooCommerce, dans l’annonce de sécurité.

WordPress.org pousse actuellement les mises à jour automatiques forcées vers les magasins vulnérables, une pratique rarement utilisée pour atténuer les problèmes de sécurité potentiellement graves impactant un grand nombre de sites. Même avec la mise à jour automatique, les marchands WooCommerce sont encouragés à vérifier que leurs magasins exécutent la dernière version (5.5.1).

Depuis que WooCommerce a rétroporté ce correctif de sécurité à chaque branche de version vers 3.3, les propriétaires de magasins utilisant des versions plus anciennes de WooCommerce peuvent mettre à jour en toute sécurité le nombre le plus élevé dans leur branche de version actuelle, même s’ils n’exécutent pas la toute dernière version 5.5.1.

Au moment de la publication, seulement 7.2% des installations WooCommerce utilisent la version 5.5 +. Plus de la moitié des magasins (51,7 %) s’exécutent sur une version antérieure à la version 5.1. WordPress.org n’offre pas une ventilation plus spécifique des anciennes versions, mais il est sûr de dire que sans ces correctifs de sécurité rétroportés, la majorité des installations WooCommerce pourraient être vulnérables.

versions des installations WooCommerce

L’annonce de sécurité indique que WooCommerce ne peut pas encore confirmer que cette vulnérabilité n’a pas été exploitée:

Notre enquête sur cette vulnérabilité et si les données ont été compromises est en cours. Nous partagerons plus d’informations avec les propriétaires de sites sur la façon d’enquêter sur cette vulnérabilité de sécurité sur leur site, que nous publierons sur notre blog lorsqu’il sera prêt. Si un magasin a été affecté, les informations exposées seront spécifiques à ce que ce site stocke, mais peuvent inclure des informations sur la commande, le client et l’administration.

Pour ceux qui s’inquiètent d’une éventuelle exploitation, l’équipe WooCommerce recommande aux marchands de mettre à jour leurs mots de passe après avoir installé la version patchée par mesure de précaution.

La bonne nouvelle pour les propriétaires de magasins WooCommerce est que cette vulnérabilité critique particulière a été divulguée et corrigée de manière responsable dans la journée suivant son identification. L’équipe du plugin s’est engagée à être transparente sur la question de la sécurité.

En plus de publier une annonce sur le blog du plugin, WooCommerce a également envoyé un e-mail à tous ceux qui ont choisi de participer à leur liste de diffusion. Les propriétaires de magasins concernés doivent garder un œil sur le blog WooCommerce pour un article de suivi sur la façon d’enquêter si leurs magasins ont été compromis.