WooCommerce 2.1.6 contient une vulnérabilité capable d’afficher n’importe quel titre d’article de n’importe quel type. Elle est présente depuis la 2.0.
Il devient donc possible, en modifiant l’adresse d’achat directement en barre d’adresse, d’afficher les titres de tout type d’article et de tout status.
On peut alors afficher les titres des articles en brouillon, en attente, articles protégés, et même d’autres Custom Post Types qui n’ont même pas été fait pour être affiché en front-office.
Sachant qu’il existe des plugins de gestion de membres qui utilisent leur propre CPT “member” et dont le titre est votre adresse email, le danger est grand. Cette information ne doit alors pas être affichée, ou la vérification du type et status de l’article demandé, mieux vérifié.
Cela peut sembler trivial, mais pensez aux plugins qui se servent du titre pour stocker des informations qui ne sont pas faites pour être affichées en front-office ou encore à un forum bbpress privé, grâce à la faille on peut lire les titres des sujets protégés.
Le commit 55ad5bb0ad6191cd46c7d5055a1244bc87734912 patche cette faille dans la 2.1.8 en supprimant seulement son affichage, tenez vous à jour !
Je n’ai pas eu la chance d’être cité malgré la divulgation responsable, c’est à dire que j’attends le patch pour informer le monde au lieu d’en parler partout pendant que la faille tourne et donc serait exploitée le temps du patch.
Le changelog du plugin ne parle pas non plus de la faille ou de cette modification. Étrange secret …