CVE-2021-42367 est une vulnérabilité de sécurité dans le plugin WordPress « Variation Swatches for WooCommerce ». Le plugin, qui fonctionne comme extension WooCommerce, a plus que 80,000 installations actives.
CVE-2021-42367 Vulnérabilité dans les échantillons de variation pour le plugin WooCommerce
La vulnérabilité pourrait permettre à un attaquant avec des privilèges de bas niveau d'injecter du code JavaScript malveillant qui s'exécuterait lorsqu'un administrateur du site accédait aux paramètres du plugin., comme expliqué par les chercheurs de Wordfence.
Les chercheurs ont divulgué le problème de manière responsable aux développeurs du plugin en novembre 12, 2021. Un patch a ensuite été publié en novembre 23. Il est fortement recommandé que tous les utilisateurs du plugin Variation Swatches pour WooCommerce installent la dernière version 2.1.2.
À quoi sert le plugin Variation Swatches pour WooCommerce? Son but est d'ajouter des échantillons de variation aux produits créés avec WooCommerce, permettant ainsi aux propriétaires de spectacles de vendre plusieurs variantes du même produit. Pour fonctionner correctement, le plugin a enregistré diverses actions AJAX nécessaires pour gérer les paramètres. Cependant, ils n'ont pas été mis en œuvre de manière sûre, permettre aux acteurs de la menace avec des autorisations de bas niveau de mettre à jour les paramètres du plug-in et d'exécuter du code malveillant.
"Plus précisement, le plugin a enregistré le tawcvs_save_settings, update_attribute_type_setting, et fonctions update_product_attr_type, qui étaient tous accrochés à diverses actions AJAX. Ces trois fonctions manquaient toutes de vérifications de capacité ainsi que de vérifications de nonce, qui offrent une protection contre la falsification des demandes intersites," Wordfence a déclaré.
En d'autres termes, tout authentifié, les utilisateurs de bas niveau pourraient exécuter les actions AJAX liées aux fonctions.
"Les actions AJAX ont été utilisées pour contrôler les différents paramètres des plugins, et la fonction tawcvs_save_settings en particulier pourrait être utilisée pour mettre à jour les paramètres du plugin pour ajouter des scripts Web malveillants, ce qui rend le problème beaucoup plus grave," le rapport ajouté.
Quelles pourraient être les conséquences d'une attaque basée sur CVE-2021-42367? Les scripts Web malveillants peuvent être exploités de différentes manières, y compris la modification d'un plugin ou d'un fichier de thème pour ajouter une porte dérobée. Une porte dérobée pourrait donner à un attaquant la possibilité d'effectuer une attaque de prise de contrôle de site Web.
En Septembre 2021, chercheurs Wordfence signalé deux vulnérabilités dans la bibliothèque de modèles Gutenberg & Plugin Redux Framework pour WordPress, CVE-2021-38312 et CVE-2021-38314. La première vulnérabilité pourrait permettre aux utilisateurs avec des autorisations inférieures, tels que les contributeurs, pour installer et activer des plugins arbitraires et supprimer toute publication ou page via l'API REST.
La deuxième vulnérabilité pourrait permettre à des attaquants non authentifiés d'accéder à des informations potentiellement sensibles concernant la configuration d'un site.. La note du bogue est 5.3 à l'échelle CVSS.