YITH WooCommerce PDF

Faille corrigée pour le plugin WordPress YITH WooCommerce PDF

Vous avez une boutique sous WordPress ? Vous utilisez le plugin YITH WooCommerce PDF ? Un conseil, mettez à jour rapidement ce dernier.

Fuite corrigée pour le plugin WordPress YITH WooCommerce PDF ! Il y a quelques jours, j’alertais via un protocole d’alerte ZATAZ une société basée en Provence, spécialisée dans la commercialisation de minéraux. Le site web de l’entreprise avait des fuites. Il était possible d’accéder à de nombreuses informations clients. Des factures avec les contenus que l’on peut trouver dans ce genre de document : noms, adresses postales, mails, téléphones…

Le contact avec cette PME a été particulièrement difficile, l’interlocuteur indiquant qu’il interdisait la publication « des informations sensibles qui peuvent être rattachées à notre nom ou d’autre éléments permettant de savoir qu’il s’agisse de notre enseigne tel que des éléments graphiques ou des codes permettant d’identifier notre entreprise. » avant même de recevoir les informations pour l’aider !

Autant dire que lui expliquer qu’il laissait lui-même fuiter des données permettant de retrouver son entreprise n’a pas été simple. Bref, après une première correction. Entre mon premier protocole d’alerte, et le second courriel lui expliquant le problème, les factures ont été effacées. Dans la foulée, l’accès au dossier /wp-content/uploads/ de la boutique fermé.

Si cette entreprise est surtout fautive d’avoir laissé son dossier /wp-content/uploads/ ouvert, donc donnant accès à de nombreux contenus, dont les factures, la fuite des documents comptables est due au plugin YITH WooCommerce PDF Invoice and Shipping List.

Mettre à jour YITH WooCommerce PDF

Cette faille a été corrigée ce 17 octobre après une alerte sur le site WordPress. YITH WooCommerce PDF Invoice and Shipping List donnait accès aux factures. Des fichiers au format PDF directement dans le serveur des boutiques utilisatrices.

Bref, penser qu’un site web peut devenir aussi un lieu de stockage de documents est une grave erreur.

Utilisateurs de ce plugin, mettez à jour ce dernier et surtout, vérifiez bien qu’aucunes factures ne traînent dans votre serveur web… ou copiée par le cache Google !

Pour rappel, ce type de fuite, à partir du 25 mai 2018, rentre dans les obligations du RGPD, le nouveau Règlement Général de la Protection des Données.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.