Une faille de sécurité critique a été révélée dans le plugin WordPress « Abandoned Cart Lite for WooCommerce » qui est installée sur plus de 30 000 sites Web.
« Cette vulnérabilité permet à un attaquant d’accéder aux comptes des utilisateurs qui ont abandonné leurs paniers, qui sont généralement des clients mais peuvent s’étendre à d’autres utilisateurs de haut niveau lorsque les bonnes conditions sont remplies », a déclaré Wordfence de Defiant. a dit dans un avis.
Suivi comme CVE-2023-2986, le défaut a été noté 9,8 sur 10 pour la gravité sur le système de notation CVSS. Cela impacte toutes les versions du plugin, y compris et antérieures aux versions 5.14.2.
Le problème, à la base, est un cas de contournement d’authentification qui survient en raison de protections de cryptage insuffisantes appliquées lorsque les clients sont avertis lorsqu’ils ont abandonné leur panier sur des sites de commerce électronique sans finaliser l’achat.
Plus précisément, la clé de chiffrement est codée en dur dans le plugin, permettant ainsi aux acteurs malveillants de se connecter en tant qu’utilisateur avec un panier abandonné.
« Cependant, il est possible qu’en exploitant la vulnérabilité de contournement de l’authentification, un attaquant puisse accéder à un compte d’utilisateur administratif ou à un autre compte d’utilisateur de niveau supérieur s’il a testé la fonctionnalité de panier abandonné », a déclaré le chercheur en sécurité István Márton.
Suite à la divulgation responsable le 30 mai 2023, la vulnérabilité a été corrigée par le développeur du plugin, Tyche Softwares, le 6 juin 2023, avec la version 5.15.0. La version actuelle de Abandoned Cart Lite pour WooCommerce est la 5.15.2.
La divulgation intervient alors que Wordfence a révélé une autre faille de contournement d’authentification affectant le plug-in « Calendrier de réservation | Réservation de rendez-vous | BookIt » de StylemixThemes (CVE-2023-2834, score CVSS : 9,8) qui a plus de 10 000 installations WordPress.
« Cela est dû à une vérification insuffisante de l’utilisateur fourni lors de la prise de rendez-vous via le plugin », Márton expliqué. « Cela permet aux attaquants non authentifiés de se connecter en tant qu’utilisateur existant sur le site, tel qu’un administrateur, s’ils ont accès à l’e-mail. »
La faille, affectant les versions 2.3.7 et antérieures, a été corrigée dans la version 2.3.8, qui a été publiée le 13 juin 2023.