Novalnet pour WooCommerce : faille critique (CVE-2026-57677)
Ce texte a été généré par l'intelligence artificielle (IA).Le 2 juillet 2026, selon Patchstack, une faille de sécurité critique a été découverte dans le plugin WordPress Passerelle de paiement Novalnet pour WooCommerce avec un score CVSS de 9.8 publiée. La vulnérabilité, répertoriée sous le nom de CVE-2026-57677, concerne toutes les versions jusqu'à celle-ci incluse 12.10.3 et permet aux pirates de prendre entièrement le contrôle d'une boutique en ligne sans authentification préalable.
Logiciels concernés : Passerelle de paiement Novalnet pour WooCommerce <= 12.10.3
Type d'attaque : Injection d'objet PHP non authentifiée
Exploitation active : À la date de publication, aucune exploitation active n'était connue (au 2 juillet 2026)
Recommandation : Mise à jour immédiate vers la version 12.10.4
Analyse technique de CVE-2026-57677
Selon le rapport publié par Patchstack, Avis La cause de cette vulnérabilité réside dans le traitement non sécurisé des données sérialisées. Un attaquant peut envoyer au plugin des données spécialement préparées qui, lors de la désérialisation – à condition qu'une chaîne POP appropriée soit présente –, peuvent entraîner l'exécution de n'importe quel code PHP sur le serveur. Ce processus ne nécessite ni identifiants d'accès ni interaction de l'utilisateur.
Le vecteur CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H décrit ce risque élevé :
Vecteur d'attaque : Réseau (AV:N) : L'attaque peut provenir d'Internet.
Complexité de l'attaque : Faible (AC : F) : Son utilisation est très simple.
Interaction utilisateur : Aucune (UI:N) : Cette attaque ne nécessite aucune action de la part de l'utilisateur.
Impact : Élevé (C:H, I:H, A:H) : Une attaque réussie compromet au maximum la confidentialité, l'intégrité et la disponibilité du système.
Un pirate peut ainsi extraire des données sensibles sur les clients et des informations de paiement, manipuler des transactions ou paralyser l'ensemble du fonctionnement de la boutique en ligne.
Systèmes concernés et évaluation des risques
Tous les exploitants de sites de commerce électronique qui utilisent WooCommerce en combinaison avec la version vulnérable du plugin Novalnet concerné sont exposés à ce risque. Le plugin étant directement intégré au processus de paiement, le potentiel de préjudice est particulièrement élevé. Les pirates pourraient rediriger les transactions vers leurs propres comptes ou utiliser le serveur compromis pour mener d'autres attaques. Compte tenu de la facilité d'exploitation de cette faille, sans même nécessiter d'authentification, il faut s'attendre à ce que des scans automatisés recherchent des systèmes vulnérables.
Étant donné que Novalnet AG est une entreprise allemande dont le siège se trouve à Garching, près de Munich, et que, selon WordPress.org, le plugin est utilisé sur environ 1 000 installations actives, ce sont principalement les exploitants de la région DACH qui sont concernés. Les entreprises qui traitent des données à caractère personnel de citoyens de l’UE doivent garder à l’esprit que si cette vulnérabilité est exploitée et qu’il en résulte une fuite de données, elles sont tenues, conformément à l’article 33 du RGPD, de la signaler à l’autorité compétente en matière de protection des données dans un délai de 72 heures. Les opérateurs relevant de la directive NIS 2 – par exemple en tant qu’entités importantes ou essentielles dans le domaine des infrastructures numériques ou du commerce – doivent en outre intégrer cette vulnérabilité dans leur chaîne de notification et leur gestion des risques.
Contre-mesures recommandées
Les exploitants de boutiques en ligne devraient agir sans délai pour protéger leurs systèmes.
1. Vérification immédiate : Vérifiez la version installée du plugin „ Novalnet Payment Gateway for WooCommerce “ dans votre interface d'administration WordPress. Les versions jusqu'à la 12.10.3 incluse sont vulnérables.
2. Préparer et effectuer la mise à jour : Mettez immédiatement à jour le plugin vers la version Version 12.10.4, qui corrige cette vulnérabilité (validation améliorée des webhooks). Les versions antérieures, jusqu'à la version 12.10.3 incluse, sont vulnérables.
3. Mesures provisoires (si aucune mise à jour n'est disponible) :
Désactiver le plugin : Si une mise à jour n'est pas possible dans l'immédiat, désactivez le plugin afin de fermer la faille de sécurité. Notez que cela aura un impact sur le traitement des paiements.
Pare-feu d'applications web (WAF) : Configurez des règles WAF permettant de détecter et de bloquer les modèles connus d'attaques par désérialisation PHP. Cela constitue une couche de protection supplémentaire, mais ne remplace pas la mise à jour logicielle nécessaire.
Comment l'EASM contribue à l'identification des risques
Des failles telles que CVE-2026-57677 souligner l'importance d'une visibilité complète de sa propre surface d'attaque externe. Dans la pratique, de nombreuses organisations ignorent quels plugins et composants logiciels sont réellement actifs sur leurs systèmes connectés à Internet – en particulier lorsque, au fil des années, des sous-systèmes, des microsites ou des instances de boutiques en ligne ont vu le jour et ne sont plus gérés de manière centralisée.
Une solution de gestion de la surface d'attaque externe (EASM) telle que LocateRisk permet justement de mettre au jour ces angles morts : la plateforme identifie les composants accessibles depuis l'extérieur, comme le plugin Novalnet, grâce à des caractéristiques distinctives, par exemple des chemins d'accès spécifiques tels que /wp-content/plugins/woocommerce-novalnet-gateway/, et établit un inventaire mis à jour en continu de tous les actifs exposés. Cela permet d'identifier les instances de boutique en ligne oubliées, les déploiements cloud non suivis ou les environnements de test non contrôlés qui ne relèvent pas du processus habituel de correction. Cette transparence permet aux équipes de sécurité de localiser rapidement les systèmes concernés après la divulgation d’une vulnérabilité et de piloter le processus de correction de manière ciblée, minimisant ainsi le risque d’exploitation.
LocateRisk est une solution développée et hébergée en Allemagne qui aide à respecter les exigences du RGPD et répond aux exigences en matière de souveraineté numérique.
L'injection d'objets PHP est une vulnérabilité dans laquelle un attaquant envoie des données sérialisées et manipulées à une application qui les désérialise sans vérification suffisante. Dans le cas de la vulnérabilité CVE-2026-57677, cela peut entraîner l'exécution de code PHP arbitraire sur le serveur web, sans que l'attaquant ait besoin de disposer d'identifiants d'accès ou d'inciter un utilisateur à interagir.
Toutes les versions de Novalnet Payment Gateway for WooCommerce jusqu'à la version incluse sont concernées. 12.10.3. La vulnérabilité a été corrigée dans la version 12.10.4 corrigé ; il est vivement recommandé de passer à cette version.
Désactivez temporairement le plugin afin de colmater la faille de sécurité, et configurez en complément des règles WAF permettant de détecter et de bloquer les schémas d'attaques par désérialisation PHP connus. Dès que possible, mettez à jour le plugin vers la version 12.10.4, qui corrige cette vulnérabilité.
Vérification rapide CVE
Vérifiez en quelques minutes si votre surface d'attaque visible depuis l'extérieur présente des indices liés à une vulnérabilité CVE actuelle.
Une estimation approximative en quelques minutes par e-mail.
Pour en savoir plus, contactez gratuitement un consultant LocateRisk.
Vous recevrez cela par e-mail
EntreprisesVotre société GmbH
CVE vérifiésCVE-2024-3094
Évaluation passive
Remarques concernant le CVEIndications trouvées
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.