WordPress : une faille Zero Day expose des milliers de sites e-commerce !

Plus de 17 000 sites sont vulnérables suite à la découverte d'une faille de sécurité Zero Day dans le plug-in Fancy Product Designer, compatible avec WordPress, WooCommerce et Shopify. Cette faille de sécurité est activement exploitée par les pirates et des scans de sites Internet sont en cours pour identifier de nouvelles cibles.

Le plug-in payant Fancy Product Designer s'intègre parfaitement aux boutiques en ligne qui tournent sous WordPress, WooCommerce (pour WordPress) ou Shopify. Il permet de mettre en place une interface de personnalisation des produits. À en croire les statistiques du plug-in, il représente plus de 17 000 installations. Même si elles ne sont pas forcément toutes actives, les sites actifs quant à eux sont vulnérables !

L'analyse en sécurité Charles Sweethill de chez Wordfence a fait la découverte de cette faille de sécurité dans Fancy Product Designer. Il précise que cette faille de sécurité est exploitable lorsque le plug-in est installé sur WordPress ou lorsqu'il est installé via WooCommerce. Par contre, les sites hébergés sur Shopify sont protégés grâce au contrôle d'accès strict qui est mis en place.

La vulnérabilité permet d'uploader un fichier PHP malveillant sur le serveur où sont installés le site et le plug-in Fancy Product Designer. Dans certains cas, lorsque l'attaque réussie on se retrouve avec un fichier PHP nommé avec un identifiant unique et que l'on peut retrouver dans un sous-dossier des dossiers "wp-admin/" ou "wp-content/plugins/fancy-product-designer/inc/". Par exemple, cela peut donner :

wp-content/plugins/fancy-product-designer/inc/2021/05/30/4fa00001c720b30102987d980e62d5e4.php

Pour le moment, l'éditeur du plug-in n'a pas communiqué et n'a pas publié de correctif. Pour se protéger, il faudrait désinstaller le plug-in par précaution, mais ce n'est pas si simple de retirer une fonctionnalité d'un site en pleine production ! D'après le rapport publié par Wordfence sur son site, la majorité des attaques sont effectuées depuis 3 adresses IP publiques, que vous pouvez bloquer dès à présent :

69.12.71.82
92.53.124.123
46.53.253.152

La faille est référencée avec le nom CVE-2021-24370 et le score CVSS de 9.8 qui lui est attribué montre qu'il s'agit bel et bien d'une vulnérabilité critique !

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3218 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.