Le plug-in de commerce électronique WordPress met en danger plus de 5000 sites Web

TheCartPress, un plug-in de commerce électronique utilisé sur des milliers de sites Web basés sur WordPress, présente plusieurs vulnérabilités à haut risque.

Il n'y a actuellement aucun correctif disponible pour les failles et, selon son développeur, la prise en charge du plug-in sera interrompue le 1er juin..

Les vulnérabilités pourraient permettre aux attaquants «d'exécuter du code PHP arbitraire, de divulguer des données sensibles et d'effectuer des attaques Cross-Site Scripting [XSS] contre les utilisateurs des installations WordPress avec le plug-in vulnérable», ont déclaré des chercheurs du cabinet de sécurité High-Tech Bridge dans un mercredi.

Il existe des facteurs qui limitent l'exploitation de certains des défauts, mais ils posent toujours un risque important.

Par exemple, exploiter la vulnérabilité qui permet l'exécution de code PHP nécessite que l'attaquant dispose de privilèges administratifs sur le site WordPress. Cependant, un attaquant pourrait également inciter le véritable administrateur à exécuter l'exploit en visitant une page malveillante, selon les chercheurs de High-Tech Bridge. Ceci est connu comme une attaque de contrefaçon de demande intersite (CSRF).

Une autre vulnérabilité permet aux attaquants non authentifiés de parcourir les commandes passées par les utilisateurs du site de commerce électronique qui utilise le plug-in.

Il existe également plusieurs problèmes XSS, à la fois dans le panneau d'administration et dans les pages accessibles aux utilisateurs. Ces failles pourraient permettre aux attaquants d'inciter les utilisateurs du site à effectuer des actions malveillantes lorsqu'ils cliquent sur des URL spécialement conçues. Les attaques XSS où la victime est l'administrateur du site présentent évidemment le risque le plus élevé.

Les chercheurs du High-Tech Bridge affirment qu'ils ont tenté d'informer le développeur du plug-in des failles depuis le 8 avril sans succès. Ils soulignent que le développeur a déjà annoncé que «la prise en charge de TheCartPress prendra fin le 1er juin 2015».

Comme il n'est pas clair si les failles seront jamais corrigées, les chercheurs recommandent de désactiver ou de supprimer le plug-in. Selon les statistiques du référentiel officiel des plug-ins WordPress, TheCartPress compte actuellement plus de 5 000 installations actives.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.