Vulnérabilité de type falsification de requêtes intersites (CRSF) dans le plugin WooCommerce sur WordPress

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/046

Date de l’alerte : 12/10/2023

APERÇU :

Le plugin WooCommerce contient une vulnérabilité de type CSRF (Cross-Site Request Forgery), qui affecte une fonctionnalité inconnue du composant Setting Handler dans WordPress. 

DESCRIPTION :

WooCommerce est un plugin de commerce électronique populaire pour WordPress, le système de gestion de contenu (CMS) largement utilisé pour la création de sites Web. WooCommerce permet de transformer un site WordPress en une boutique en ligne entièrement fonctionnelle, ce qui en fait l’une des solutions de commerce électronique les plus utilisées au monde. 

Le plugin présente une vulnérabilité de type CRSF (Cross-Site Request Forgery) identifiée sous le numéro CVE-2023-44260, qui permettrait à une personne malveillante de faire parvenir à un utilisateur authentifié une requête HTTP falsifiée qui déclencherait une action interne au site comme la modification des paramètres de la page d’administration à partir du composant Setting Handler.  

Cette vulnérabilité est de sévérité Élevée et son score est de 8.8. 

 

IMPACT :

  • Atteinte à l’intégrité des données ; 
  • Falsification de données sensibles.

SYSTÈMES AFFECTÉS : 

Les versions antérieures à 2.23.1.

MESURES À PRENDRE : 

Effectuer une mise à jour du plugin vers la version 2.23.2. 

RÉFÉRENCES :

Partagez sur vos réseaux.