WooCommerce est l’un des plugins les plus célèbres de WordPress. Cette extension disponible en open source depuis 2011 permet aux utilisateurs de WordPress de créer facilement leur boutique en ligne.
Il y a quelques jours, WooCommerce a découvert une faille de sécurité critique dans plus de 90 versions du plugin. Rappelons la nécessité de toujours mettre à jour les plugins sur WordPress.
Avec plus de 5 millions d’installations, cette faille de sécurité aurait pu avoir un impact très grave si elle n’avait pas été aperçue ou corrigée. D’autant plus que le bug concerné affecte également, selon WooCommerce, le plugin WooCommerce Blocks, dédié à l’affichage des produits et articles sur les pages de site e-commerce. Ainsi, les versions 3.3 à 5.5 de WooCommerce et 2.5 à 5.5 de WooCommerce Blocks sont concernés par la faille de sécurité.
D’après Patchstack, une entreprise qui protège les sites WordPress contre les failles de sécurité des plugins, le score de gravité de cette vulnérabilité est de 8,2 sur 10 ! Cette faille de sécurité permettrait en effet aux pirates et hackers d’injecter du code malveillant dans une requête SQL sans avoir besoin de s’authentifier. Autrement dit, les hackers pourraient entrer dans le code de la boutique en ligne et obtenir des informations critiques sur le magasin, le commerçant, les commandes et les clients, voire même les données bancaires !
Une prime de 500$ sera attribuée au chercheur en sécurité à l’origine de la découverte de la faille de sécurité. Celui-ci fait partie du programme de sécurité HackerOne de WooCommerce. Il a identifié la faille de sécurité le 13 juillet dernier.