WooCommerce Dynamic Pricing and Discounts, le pluguin populaire de commerce électronique pour WordPress, fait face à de nouvelles vulnérabilités pouvant entrainer diverses attaques, notamment, des redirections de sites Web vers des pages de phishing, l'insertion de scripts malveillants sur des pages de produits, etc.

Selon les chercheurs du Ninja Technologies Network, les deux vulnérabilités non authentifiées affectent les versions 2.4.1 et inférieures. La première est une faille XSS permanente (Cross-Site Scripting) de haute gravité, tandis que la seconde est un problème d'exportation de paramètres de gravité moyenne.

Le bug XSS se trouve dans la méthode __construct du script "wc-dynamic-pricing-and-discounts/classes/rp-wcdpd-settings.class.php", selon un article publié par NinTechNet.

« Il manque un contrôle de capacité et un token de sécurité et ainsi, il est accessible à tout le monde, authentifié ou non », expliquent les chercheurs. « Un utilisateur non authentifié peut importer les paramètres du plugin. Comme certains champs ne sont pas assainis, l'attaquant peut injecter du code JavaScript dans le fichier importé codé en JSON. »

« En cas de succès, le code sera exécuté sur chaque page produit de la boutique électronique WooCommerce », ont-ils ajouté. En outre, les attaquants pourraient remplacer le code JavaScript par n'importe quelle balise HTML, telle qu'une balise Meta Refresh, qui pourrait être utilisée pour rediriger les visiteurs et les clients vers un site web malveillant.

En outre, la fonction d'importation ne comporte pas de contrôle de sécurité pour prévenir les attaques CSRF (cross-site request forgery), au cours desquelles un utilisateur peut soumettre des commandes non autorisées à partir d'un site auquel l'application Web fait confiance.

Le deuxième bug existe parce qu'une fonction d'exportation de base ne comporte pas de vérification de capacité ce qui la rend accessible à tous, authentifiés ou non.

"Un utilisateur non authentifié peut exporter les paramètres du plugin, injecter du code JavaSript dans le fichier JSON et le réimporter en utilisant la vulnérabilité précédente", selon NinTechNet.

Les chercheurs ont averti que les problèmes sont corrigés dans la version 2.4.2 cependant, la vérification CSRF n’est toujours pas corrigée.

Les utilisateurs de WooCommerce, sont invités à mettre à jour la version de WooCommerce dès que possible afin de corriger ces vulnérabilités.