Faille de sécurité majeure dans le plugin WooCommerce « Abandoned Cart Lite

Une faille de sécurité critique a récemment été découverte dans le plugin WordPress « Abandoned Cart Lite for WooCommerce », installé sur plus de 30 000 sites. Cette vulnérabilité offre aux attaquants la possibilité d’accéder aux comptes des utilisateurs qui ont abandonné leurs paniers.
Les détails de la faille de sécurité
Description de la faille
Selon un avis de Wordfence, une entreprise de Defiant, cette vulnérabilité permet à un attaquant d’accéder aux comptes des utilisateurs ayant abandonné leurs paniers, qui sont généralement des clients, mais qui peuvent s’étendre à d’autres utilisateurs de haut niveau lorsque les conditions sont réunies. La faille, suivie sous le nom de CVE-2023-2986, a reçu une note de gravité de 9,8 sur 10 dans le système de notation CVSS.
Implication et vulnérabilité
Toutes les versions du plugin sont touchées, y compris celles antérieures à la version 5.14.2. Le problème vient d’une défaillance de l’authentification liée à une protection insuffisante de l’encryption lorsque les clients sont avertis qu’ils ont abandonné leurs paniers d’achat sur les sites d’e-commerce sans finaliser leur achat.
Plus précisément, la clé d’encryption est codée en dur dans le plugin, permettant ainsi à des acteurs malveillants de se connecter en tant qu’utilisateur ayant abandonné son panier.

Faille de sécurité majeure dans le plugin WooCommerce « Abandoned Cart Lite
Les risques potentiels du piratage
Comme l’a précisé le chercheur en sécurité István Márton, en exploitant cette vulnérabilité d’authentification, un attaquant pourrait potentiellement accéder à un compte utilisateur administrateur ou à un autre compte de niveau supérieur, si ces derniers ont testé la fonctionnalité de panier abandonné.
Le correctif
Suite à une divulgation responsable le 30 mai 2023, le développeur du plugin, Tyche Softwares, a corrigé la vulnérabilité le 6 juin 2023 avec la version 5.15.0. La version actuelle de Abandoned Cart Lite for WooCommerce est la 5.15.2.
Autre faille de sécurité découverte
Il est à noter que Wordfence a également révélé une autre faille d’authentification concernant le plugin de StylemixThemes, « Booking Calendar | Appointment Booking | BookIt » (CVE-2023-2834, score CVSS : 9,8) qui compte plus de 10 000 installations WordPress. Cette faille, touchant les versions 2.3.7 et antérieures, a été corrigée dans la version 2.3.8, publiée le 13 juin 2023.

Vous souhaitez travailler avec notre agence ?