80 000 sites de commerce WooCommerce exposés à un bug XSS du plugin « Variation Swatches for WooCommerce »
Le plugin "Variation Swatches for WooCommerce", installé sur 80 000 sites de vente au détail alimentés par WordPress, contient une vulnérabilité de sécurité XSS (cross-site scripting) stockée qui pourrait permettre à des cyberattaquants d'injecter des scripts web malveillants et de prendre le contrôle de sites.
La faille de sécurité du plugin Variation Swatches permet ainsi aux attaquants disposant d'autorisations de bas niveau de modifier des paramètres importants sur les sites de commerce électronique afin d'y injecter des scripts malveillants.
Variation Swatches est conçu pour permettre aux distributeurs utilisant la plateforme WooCommerce pour les sites WordPress de montrer différentes versions d'un même produit, comme un pull en plusieurs couleurs. Malheureusement, les versions vulnérables peuvent également donner aux utilisateurs sans droits d'administration - comme les clients ou les abonnés - un accès aux paramètres du plugin, selon les chercheurs de Wordfence.
Le fait de donner aux utilisateurs à faible autorisation l'accès à la fonction "tawcvs_save_settings" du plugin est particulièrement inquiétant, car cet accès peut être utilisé pour mettre à jour les paramètres du plugin et injecter des scripts web malveillants qui s'exécuteraient chaque fois qu'un propriétaire de site accède à la zone de paramètres du plugin.
La vulnérabilité a été repérée par CVE-2021-42367 et a affecté tous les utilisateurs du plugin jusqu'au 23 novembre, date à laquelle elle a été corrigée dans la nouvelle version 2.1.2.
Les plugins Wordpress ont connu de nombreux bugs au cours du dernier mois, pour lesquels les administrateurs de sites Wordpress sont incités à rester alertes et à se tenir à jour.
Enfin, pour atténuer ce dernier bug de plugin, il est fortement recommandé de mettre à jour les sites avec la version corrigée de Variation Swatches de WooCommerce.