Vulnérabilité du plugin WordPress trouvée sur 80 000 sites
Les chercheurs en sécurité ont découvert une vulnérabilité dans un plugin WordPress relativement populaire utilisé sur les sites Web commerciaux. Le plugin en question s'appelle Variation Swatches for WooCommerce et se trouve sur environ 80 000 sites Web exécutant WordPress et le plugin de commerce électronique WooCommerce.
La vulnérabilité a été découverte dans la fonctionnalité de script croisé stockée du plugin Variation Swatches for WooCommerce. La gravité du problème est importante, car selon les chercheurs, le problème pourrait potentiellement permettre aux acteurs malveillants d'injecter des pages avec des scripts malveillants et même de s'emparer de sites Web entiers.
Le but du plugin Variation Swatches, comme son nom l'indique, est de permettre à toute personne exploitant un site Web de vente au détail d'afficher plusieurs variantes du même produit de base. Par exemple, une paire de chaussures en cuir bleu, noir et marron serait affichée sur trois échantillons différents. Cependant, les versions du plugin contenant la vulnérabilité permettent à toute personne sans privilèges d'administrateur, même aux visiteurs de la page, de falsifier les paramètres du plugin.
Selon les chercheurs de Wordfence, trois fonctions distinctes dans le code du plugin Swatches ont été implémentées sans "contrôles de capacité ni contrôles de nonce". L'une de ces trois fonctions permet aux utilisateurs non privilégiés de modifier les paramètres du plug-in et d'insérer un code malveillant qui s'exécuterait lorsque l'administrateur du site Web légitime ouvrirait les paramètres du plug-in.
La vulnérabilité a été suivie sous l'indicateur CVE-2021-42367 et a finalement été corrigée avec une mise à jour publiée le 23 novembre.
Les derniers mois ont vu une cavalcade désagréable de bogues documentés et finalement corrigés, liés d'une manière ou d'une autre à la plate-forme WordPress. Nous en avons couvert un certain nombre, y compris un autre bogue de plugin qui permettait aux utilisateurs non privilégiés d'effacer des sites Web entiers, et la fausse alerte au ransomware qui était liée à un autre plugin WordPress.