Vulnérabilités découvertes dans cinq plugins WordPress WooCommerce

Publié le 14 décembre 2022 par Mycamer

La National Vulnerability Database (NVD) du gouvernement américain a publié des avertissements de vulnérabilités dans cinq plugins WooCommerce WordPress affectant plus de 135 000 installations.

De nombreuses vulnérabilités varient en gravité jusqu’à Critique et sont notées 9,8 sur une échelle de 1 à 10.

Chaque vulnérabilité s’est vue attribuer un numéro d’identité CVE (Common Vulnerabilities and Exposures) attribué aux vulnérabilités découvertes.

1. Exportation avancée des commandes pour WooCommerce

Le plugin Advanced Order Export for WooCommerce, installé sur plus de 100 000 sites Web, est vulnérable à une attaque Cross-Site Request Forgery (CSRF).

Une vulnérabilité Cross-Site Request Forgery (CSRF) provient d’une faille dans un plugin de site Web qui permet à un attaquant de tromper un utilisateur de site Web pour qu’il effectue une action involontaire.

Les navigateurs de sites Web contiennent généralement des cookies qui indiquent à un site Web qu’un utilisateur est enregistré et connecté. Un attaquant peut assumer les niveaux de privilège d’un administrateur. Cela donne à l’attaquant un accès complet à un site Web, expose des informations client sensibles, etc.

Cette vulnérabilité spécifique peut entraîner le téléchargement d’un fichier d’exportation. La description de la vulnérabilité ne décrit pas quel fichier peut être téléchargé par un attaquant.

Étant donné que le but du plugin est d’exporter les données de commande WooCommerce, il peut être raisonnable de supposer que les données de commande sont le type de fichier auquel un attaquant peut accéder.

La description officielle de la vulnérabilité :

« Vulnérabilité Cross-Site Request Forgery (CSRF) dans le plug-in Advanced Order Export For WooCommerce <= 3.3.2 sur WordPress entraînant le téléchargement du fichier d'exportation.

La vulnérabilité affecte toutes les versions du plug-in Advanced Order Export for WooCommerce qui sont inférieures ou égales à la version 3.3.2.

L’officiel journal des modifications pour le plugin note que la vulnérabilité a été corrigée dans la version 3.3.3.

En savoir plus sur la base de données nationale sur les vulnérabilités (NVD): CVE-2022-40128

2. Tarification dynamique avancée pour WooCommerce

Le deuxième plugin concerné est le plugin Advanced Dynamic Pricing pour WooCommerce qui est installé sur plus de 20 000 sites Web.

Il a été découvert que ce plugin présentait deux vulnérabilités CSRF (Cross-Site Request Forgery) qui affectent toutes les versions de plugin inférieures à 4.1.6.

Le but du plugin est de permettre aux commerçants de créer facilement des remises et règles de tarification.

La première vulnérabilité (CVE-2022-43488) peut conduire à un «migration de type de règle.”

C’est un peu vague. On peut peut-être supposer que la vulnérabilité peut avoir quelque chose à voir avec la capacité de modifier les règles de tarification.

La description officielle fournie au NVD :

« Vulnérabilité Cross-Site Request Forgery (CSRF) dans le plugin Advanced Dynamic Pricing for WooCommerce <= 4.1.5 sur WordPress conduisant à une migration de type de règle.

En savoir plus sur le NVD : CVE-2022-43488

Le NVD a attribué à la deuxième vulnérabilité CSRF dans le plug-in Advanced Dynamic Pricing for WooCommerce un numéro CVE, CVE-2022-43491.

La description officielle NVD de la vulnérabilité est :

“La vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin Advanced Dynamic Pricing for WooCommerce <= 4.1.5 sur WordPress conduit à l'importation des paramètres du plugin."

L’officiel journal des modifications du plugin Remarques:

“Journal des modifications – 4.1.6 – 2022-10-26

Correction de certaines vulnérabilités CSRF et de contrôle d’accès cassé »

Lisez l’annonce officielle de NVD : CVE-2022-43491

3. Plugin Advanced Coupons for WooCommerce Coupons

Le troisième plugin concerné, Advanced Coupons for WooCommerce Coupons, compte plus de 10 000 installations.

Le problème découvert dans ce plugin est également une vulnérabilité CSRF et affecte toutes les versions inférieures à 4.5.01.

La journal des modifications du plugin appelle le patch un correction d’un bug?

“4.5.0.1

Correction de bogue : la demande AJAX de rejet de l’avis de démarrage n’a pas de valeur nonce. »

La description officielle du NVD est :

« Vulnérabilité Cross-Site Request Forgery (CSRF) dans Advanced Coupons for WooCommerce Coupons plugin <= 4.5 sur WordPress conduisant à un avis de rejet.

En savoir plus sur le NVD : CVE-2022-43481

4. WooCommerce Dropshipping par OPMC – Critique

Le quatrième logiciel concerné est le plugin WooCommerce Dropshipping by OPMC qui compte plus de 3 000 installations.

Les versions de ce plugin inférieures à la version 4.4 contiennent une vulnérabilité d’injection SQL non authentifiée notée 9.8 (sur une échelle de 1 à 10) et étiquetée comme critique.

En général, une vulnérabilité d’injection SQL permet à un attaquant de manipuler la base de données WordPress et d’assumer des autorisations de niveau administrateur, d’apporter des modifications à la base de données, d’effacer la base de données ou même de télécharger des données sensibles.

Le NVD décrit cette vulnérabilité de plug-in spécifique :

“Le plugin WooCommerce Dropshipping WordPress avant 4.4 ne nettoie pas correctement et n’échappe pas à un paramètre avant de l’utiliser dans une instruction SQL via un point de terminaison REST disponible pour les utilisateurs non authentifiés, ce qui entraîne une injection SQL.”

En savoir plus sur le NVD : CVE-2022-3481

Lire l’officiel journal des modifications du plugin.

5. Tarification basée sur les rôles pour WooCommerce

Le plug-in de tarification basée sur les rôles pour WooCommerce présente deux vulnérabilités CSRF (Cross-Site Request Forgery). Il y a 2 000 installations de ce plugin.

Comme mentionné à propos d’un autre plugin, une vulnérabilité CSRF implique généralement un attaquant incitant un administrateur ou un autre utilisateur à cliquer sur un lien ou à effectuer une autre action. Cela peut amener l’attaquant à obtenir les niveaux d’autorisation du site Web de l’utilisateur.

Cette vulnérabilité est notée 8.8 High.

La description NVD de la première vulnérabilité met en garde :

“Le plugin WordPress de tarification basée sur les rôles pour WooCommerce avant la version 1.6.2 n’a pas d’autorisation et de vérifications CSRF appropriées, et ne valide pas les fichiers à télécharger, permettant à tout utilisateur authentifié comme l’abonné de télécharger des fichiers arbitraires, tels que PHP”

Voici la description officielle NVD de la deuxième vulnérabilité :

“Le plugin WordPress de tarification basée sur les rôles pour WooCommerce avant la version 1.6.3 n’a pas d’autorisation et de vérifications CSRF appropriées, et ne valide pas non plus le chemin donné via l’entrée de l’utilisateur, permettant à tout utilisateur authentifié comme l’abonné d’effectuer des attaques de désérialisation PHAR lorsqu’il peut télécharger un fichier, et une chaîne de gadgets appropriée est présente sur le blog »

Le plug-in WordPress officiel de tarification basée sur les rôles pour WooCommerce journal des modifications indique que le plugin est entièrement patché dans la version 1.6.2 :

“Journal des modifications 2022-10-01 – version 1.6.2

* Correction de la vulnérabilité de téléchargement arbitraire de fichiers.

* Correction du problème de vérification nonce ajax.

Lisez la documentation officielle de NVD :

CVE-2022-3537

CVE-2022-3536

Plan d’action

Il est considéré comme une bonne pratique de mettre à jour tous les plugins vulnérables. Il est également recommandé de sauvegarder le site avant d’effectuer des mises à jour de plug-in et (si possible) de préparer le site et de tester le plug-in avant la mise à jour.


Image sélectionnée par Shutterstock/Asier Romero



— to news.google.com