{"id":795835,"date":"2023-06-22T08:50:25","date_gmt":"2023-06-22T10:50:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/faille-critique-trouvee-dans-le-plugin-wordpress-pour-woocommerce-utilise-par-30-000-sites-web\/"},"modified":"2023-06-22T08:50:28","modified_gmt":"2023-06-22T10:50:28","slug":"faille-critique-trouvee-dans-le-plugin-wordpress-pour-woocommerce-utilise-par-30-000-sites-web","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/faille-critique-trouvee-dans-le-plugin-wordpress-pour-woocommerce-utilise-par-30-000-sites-web\/","title":{"rendered":"Faille critique trouv\u00e9e dans le plugin WordPress pour WooCommerce utilis\u00e9 par 30 000 sites Web"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du site Web \/ WordPress<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une faille de s\u00e9curit\u00e9 critique a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans le plugin WordPress &#8220;Abandoned Cart Lite for WooCommerce&#8221; qui est <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/plugins\/woocommerce-abandoned-cart\/\" target=\"_blank\">install\u00e9e<\/a> sur plus de 30 000 sites Web.<\/p>\n<p>&#8220;Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant d&#8217;acc\u00e9der aux comptes des utilisateurs qui ont abandonn\u00e9 leurs paniers, qui sont g\u00e9n\u00e9ralement des clients mais peuvent s&#8217;\u00e9tendre \u00e0 d&#8217;autres utilisateurs de haut niveau lorsque les bonnes conditions sont remplies&#8221;, a d\u00e9clar\u00e9 Wordfence de Defiant. <a rel=\"nofollow noopener\" href=\"https:\/\/www.wordfence.com\/blog\/2023\/06\/tyche-softwares-addresses-authentication-bypass-vulnerability-in-abandoned-cart-lite-for-woocommerce-wordpress-plugin\/\" target=\"_blank\">a dit<\/a> dans un avis.<\/p>\n<p>Suivi comme CVE-2023-2986, le d\u00e9faut a \u00e9t\u00e9 not\u00e9 9,8 sur 10 pour la gravit\u00e9 sur le syst\u00e8me de notation CVSS.  Cela impacte toutes les versions du plugin, y compris et ant\u00e9rieures aux versions 5.14.2.<\/p>\n<p>Le probl\u00e8me, \u00e0 la base, est un cas de contournement d&#8217;authentification qui survient en raison de protections de cryptage insuffisantes appliqu\u00e9es lorsque les clients sont avertis lorsqu&#8217;ils ont abandonn\u00e9 leur panier sur des sites de commerce \u00e9lectronique sans finaliser l&#8217;achat.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, la cl\u00e9 de chiffrement est cod\u00e9e en dur dans le plugin, permettant ainsi aux acteurs malveillants de se connecter en tant qu&#8217;utilisateur avec un panier abandonn\u00e9.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-cybercriminels-bresiliens-utilisent-les-scripts-LOLBaS-et-CMD-pour.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Cependant, il est possible qu&#8217;en exploitant la vuln\u00e9rabilit\u00e9 de contournement de l&#8217;authentification, un attaquant puisse acc\u00e9der \u00e0 un compte d&#8217;utilisateur administratif ou \u00e0 un autre compte d&#8217;utilisateur de niveau sup\u00e9rieur s&#8217;il a test\u00e9 la fonctionnalit\u00e9 de panier abandonn\u00e9&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Istv\u00e1n M\u00e1rton.<\/p>\n<p>Suite \u00e0 la divulgation responsable le 30 mai 2023, la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 corrig\u00e9e par le d\u00e9veloppeur du plugin, Tyche Softwares, le 6 juin 2023, avec la version 5.15.0.  La version actuelle de Abandoned Cart Lite pour WooCommerce est la 5.15.2.<\/p>\n<p>La divulgation intervient alors que Wordfence a r\u00e9v\u00e9l\u00e9 une autre faille de contournement d&#8217;authentification affectant le plug-in &#8220;Calendrier de r\u00e9servation | R\u00e9servation de rendez-vous | BookIt&#8221; de StylemixThemes (CVE-2023-2834, score CVSS\u00a0: 9,8) qui a plus de <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/plugins\/bookit\/\" target=\"_blank\">10 000 installations WordPress<\/a>.<\/p>\n<p>&#8220;Cela est d\u00fb \u00e0 une v\u00e9rification insuffisante de l&#8217;utilisateur fourni lors de la prise de rendez-vous via le plugin&#8221;, M\u00e1rton <a rel=\"nofollow noopener\" href=\"https:\/\/www.wordfence.com\/blog\/2023\/06\/stylemixthemes-addresses-authentication-bypass-vulnerability-in-bookit-wordpress-plugin\/\" target=\"_blank\">expliqu\u00e9<\/a>.  &#8220;Cela permet aux attaquants non authentifi\u00e9s de se connecter en tant qu&#8217;utilisateur existant sur le site, tel qu&#8217;un administrateur, s&#8217;ils ont acc\u00e8s \u00e0 l&#8217;e-mail.&#8221;<\/p>\n<p>La faille, affectant les versions 2.3.7 et ant\u00e9rieures, a \u00e9t\u00e9 corrig\u00e9e dans la version 2.3.8, qui a \u00e9t\u00e9 publi\u00e9e le 13 juin 2023.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/critical-flaw-found-in-wordpress-plugin.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 juin 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 du site Web \/ WordPress Une faille de s\u00e9curit\u00e9 critique a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans le plugin WordPress &#8220;Abandoned Cart Lite for WooCommerce&#8221; qui est install\u00e9e sur plus de 30 000 sites Web. &#8220;Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant d&#8217;acc\u00e9der aux comptes des utilisateurs qui ont abandonn\u00e9 leurs paniers, qui sont g\u00e9n\u00e9ralement [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":795836,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,22,4158,4165,4161,429,9048,4157,4159,4171,4170,4167,4160,4163,4162,164,51599,185,4172,4169,2783,10932,1282,4166,4164,2784,166430,51600],"class_list":["post-795835","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-faille","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-plugin","tag-pour","tag-securite-informatique","tag-securite-internet","tag-sites","tag-trouvee","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-web","tag-woocommerce","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/795835","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=795835"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/795835\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/795836"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=795835"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=795835"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=795835"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}