Simon Scannell, un chercheur de chez RIP Technologies GmbH, a découvert une vulnérabilité de suppression de fichiers arbitraire dans le plugin populaire WooCommerce qui pourrait permettre à un pirate ou un utilisateur privilégié compromis d’obtenir le plein contrôle sur les sites Web non patchés (corrigés).
WooCommerce est l'un des plugins les plus populaires d'e-commerce pour WordPress qui aide les sites Web à transformer leur blog standard en boutique en ligne puissant.
WooCommerce alimente près de 35% des e-boutiques sur Internet, avec plus de 4 millions d’installations.
Exploiter WooCommerce File-Deletion (suppression de fichier)
L'attaque démontrée dans la vidéo ci-dessous tire parti de la façon dont WordPress gère les privilèges de l'utilisateur et la vulnérabilité de la suppression de fichiers WooCommerce, permettant à un compte avec le rôle de “Shop Manager” ou gestionnaire de boutique d’éventuellement réinitialiser le mot de passe des comptes administrateur avant de prendre le contrôle complet du site.
Une fois installée, l'extension WooCommerce crée des comptes “Shop managers” avec la fonctionnalité “edit_users” (modifier utilisateurs), ce qui leur permet de modifier les comptes clients du magasin afin de gérer leurs commandes, leurs profils et leurs produits.
Dans WordPress, un compte avec la capacité “edit_users” par défaut est autorisé à modifier même un compte administrateur et réinitialiser son mot de passe.
Mais pour tracer une ligne basée sur l'autorisation entre un administrateur et un compte de gestionnaire de magasin, le plugin WooCommerce ajoute quelques limitations supplémentaires sur les gestionnaires de la boutique.
Cependant, le chercheur a découvert que si WordPress Admin, pour une raison quelconque, désactive le plugin WooCommerce, sa configuration qui a mandaté la limitation disparaît, permettant aux gestionnaires de magasin de modifier et de réinitialiser le mot de passe pour les comptes d'administrateur.
Maintenant, selon Simon, un gestionnaire de magasin malveillant peut désactiver avec force le plugin WooCommerce en exploitant une vulnérabilité de suppression de fichier qui réside dans la fonction de journalisation de WooCommerce.
Cette vulnérabilité permet aux gestionnaires de magasin de supprimer tout fichier sur le serveur qui est accessible en écriture.
En supprimant le fichier principal de WooCommerce, WooCommerce.php, WordPress sera incapable de charger le plugin, alors il le désactivera.
Une fois le fichier supprimé, le plugin WooCommerce est désactivé, permettant aux gestionnaires de magasin de mettre à jour le mot de passe pour le compte administrateur, puis prendre le contrôle du site Web complet.
Mettez WooCommerce à jour avec le patch WordPress
Le chercheur a signalé de façon responsable les problèmes de sécurité à l'équipe de sécurité d'Automattic, qui gère le plugin WooCommerce, via Hackerone le 30 août 2018.
L'équipe a reconnu les failles et les a corrigées dans Woocommerce version 3.4.6 le mois dernier.
Si vous n’avez pas encore effectué la mise à jour de votre WordPress et Woocommerce, vous êtes fortement recommandés d'installer les dernières mises à jour de sécurité disponibles dès que possible.
