WooCommerce a annoncé avoir corrigé une vulnérabilité critique affectant des millions d’utilisateurs. Les éditeurs utilisant le plugin WooCommerce ou le plugin WooCommerce Blocks sont fortement invités à mettre à jour leurs plugins s’ils ne l’ont pas déjà fait automatiquement.
Mise à jour automatique forcée de WooCommerce
La vulnérabilité connue sous le nom de vulnérabilité d’injection SQL est si grave que WooCommerce envoie automatiquement la mise à jour aux éditeurs concernés.
Bien que les mises à jour soient automatiques, certains éditeurs signalent que certains de leurs sites n’ont pas encore reçu la mise à jour.
Il est donc important de vérifier et de mettre à jour manuellement si le site n’a pas encore été mis à jour vers la version la plus élevée de votre branche de version WooCommerce.
Publicité
Continuer la lecture ci-dessous
En général, une injection SQL est une vulnérabilité qui permet à un pirate informatique malveillant d’affecter la base de données d’une manière qui lui fait afficher des informations ou se comporter différemment d’une manière qu’il n’est pas censé, comme en général, par exemple, de pouvoir manipuler le base de données en révélant un mot de passe.
Selon WooCommerce :
“Si un magasin était affecté, les informations exposées seront spécifiques à ce que ce site stocke, mais pourraient inclure des informations sur la commande, le client et l’administration.”
L’annonce de WordFence a noté qu’il s’agit d’une vulnérabilité d’injection SQL aveugle.
WordFence a expliqué l’impact :
« Cette vulnérabilité a permis à des attaquants non authentifiés d’accéder à des données arbitraires dans la base de données d’une boutique en ligne.
L’équipe Wordfence Threat Intelligence a pu développer des preuves de concept pour les injections aveugles basées sur le temps et les booléens et a publié une règle de pare-feu initiale pour nos clients Premium dans les heures suivant la mise à jour.
Publicité
Continuer la lecture ci-dessous
Les sites WooCommerce ont-ils été compromis ?
Il n’y a actuellement aucune preuve d’attaques généralisées compromettant les sites WooCommerce.
WordFence a déclaré :
« Wordfence Threat Intelligence a trouvé des preuves extrêmement limitées de ces tentatives et il est probable que ces tentatives étaient très ciblées. »
Branches de version du logiciel WooCommerce
Ce que l’on entend par branche de version est le numéro associé à la version qu’un éditeur utilise.
Un éditeur peut utiliser une très ancienne version 3.x, une version 4.x et la dernière version 5.x. Chacune de ces versions, 3, 4 et 5 est considérée comme une branche.
Les versions 4.x et 5.x de WooCommerce sont appelées branches du logiciel et la version 5 est considérée comme une avancée majeure par rapport à la version 4.
Certains éditeurs peuvent trouver perturbant la mise à jour de la version 4.x vers la 5.x.
Pour s’adapter à ces éditeurs, WooCommerce a publié un correctif qui ferme la vulnérabilité pour chaque branche.
Ainsi, si un site dispose de la version 4.x de WooCommerce, il est encouragé à mettre à jour au moins la version 4.8.1, qui est la toute dernière version de la branche WooCommerce 4.x.
Néanmoins, bien que la dernière version des anciennes branches soit corrigée, l’annonce officielle recommande une mise à jour vers la toute dernière version de WooCommerce, actuellement la version 5.5.1.
L’annonce notait :
“… nous vous recommandons vivement de vous assurer que vous utilisez les dernières versions de WooCommerce et des blocs WooCommerce (5.5.1).”
Publicité
Continuer la lecture ci-dessous
Cette déclaration a peut-être causé par inadvertance une certaine confusion quant à la hauteur de mise à jour que les éditeurs de la branche de version doivent mettre à jour.
Certains éditeurs se demandaient s’ils utilisaient la version 4.x, si c’était sûr ou devaient-ils mettre à jour vers la dernière version de la branche la plus élevée de WooCommerce, actuellement la version 5.5.1 ?
C’est ce que quelqu’un a demandé dans le rubrique commentaires de l’annonce officielle :
« Est-ce que la version 4.8.1 de Woocommerce. en sécurité maintenant ou pas ? »
Quelqu’un de WooCommerce a répondu par la déclaration suivante :
« Comme cette vulnérabilité critique concerne le plugin WooCommerce, nous vous recommandons fortement de vous assurer qu’il est d’abord à jour.
La version que vous mentionnez, 4.8.1, contient le correctif de sécurité, vous n’avez donc rien d’autre à faire ici jusqu’à ce que vous soyez prêt à mettre à jour vers la dernière version (5.5.1).
Publicité
Continuer la lecture ci-dessous
Citations
Annonce officielle de WooCommerce
Vulnérabilité critique détectée dans WooCommerce le 13 juillet 2021 – Ce que vous devez savoir
Rapport WordFence et analyse de la vulnérabilité
Vulnérabilité critique d’injection SQL corrigée dans WooCommerce
— to www.searchenginejournal.com
Jeu de briques
Snake
Pacman
Bubble