Vulnérabilité critique sur Woocommerce Payments, mettez le module à jour !

27 Mar 2023 | Nos actualités

Vulnérabilité critique sur Woocommerce Payments, mettez le module à jour !

Une vulnérabilité critique au score de 9,8/10 a été mise à jour sur le plugin WooCommerce Payments, un module largement utilisé sous WooCommerce.
Il est impératif de mettre à jour cette extension au plus vite.

Note : si vous disposez d’un abonnement d’infogérance WordPress chez Icodia, ne vous souciez de rien, nous avons d’ores et déjà géré la mise à jour.

La vulnérabilité est actuellement exploitée et permet à des attaquants non authentifiés d’usurper l’identité de n’importe quel utilisateur et d’effectuer des actions en lieu et place de ce dernier, ce qui peut conduire à la prise de contrôle du site.

En effet, le module ne valide pas et ne vérifie pas les entrées des utilisateurs, permettant ainsi à un attaquant d’exploiter une requête spécifique qui permettrait d’exécuter du code arbitraire pour contourner l’authentification.
Il peut ainsi effectuer diverses actions en lieu et place d’un utilisateur identifié, telles que la modification des informations du compte utilisateur, l’accès à des informations sensibles ou la réalisation d’achats frauduleux.

Versions concernées :

  • Toutes les versions du module antérieures à la version 5.6.2

Que devez-vous faire ?

Selon le bulletin publié par WooCommerce, voici comment procéder :

  1. Si votre solution WooCommerce utilise ce module, il faut dans un premier temps le mettre à jour en vous rendant dans l’interface BackOffice de votre site et en vous rendant dans le menu Extensions, à partir duquel vous pourrez faire la mise à jour vers la version 5.6.2
  2. Ensuite, changez l’ensemble des mots de passe administrateur de vote site
  3. Effectuez une rotation de votre passerelle de paiement et des clés API de WooCommerce.
  4. Si vous utilisez les mêmes mots de passe sur plusieurs sites Web, il est recommandé de modifier ces mots de passe

 

Comment faire pour entretenir mon site WordPress à l’avenir  ?

Vous ne le savez peut être pas, mais Icodia propose un abonnement d’infogérance technique pour les sites WordPress.

=> Pour plus d’informations sur cet abonnement d’infogérance technique :
vous pouvez consulter notre site à l’adresse :
https://www.icodia.com/fr/solutions/infogerance/endiguard-wordpress.html
ou nous contacter.