Kritična sigurnosna greška otkrivena je u WordPress dodatku “Abandoned Cart Lite for WooCommerce” koji je instaliran na više od 30.000 web stranica.
“Ova ranjivost omogućava napadaču da dobije pristup nalozima korisnika koji su napustili svoje korpe, koji su obično kupci, ali se mogu proširiti i na druge korisnike visokog nivoa kada su ispunjeni pravi uslovi” navodi Defiant’s Wordfence u savjetovanju.
Praćen kao CVE-2023-2986, nedostatak je ocenjen sa 9,8 od 10 za ozbiljnost u CVSS sistemu bodovanja. Utiče na sve verzije dodatka, uključujući i starije verzije 5.14.2.
Problem, u svojoj srži, je slučaj zaobilaženja autentifikacije koji nastaje kao rezultat nedovoljne zaštite enkripcije koja se primjenjuje kada su kupci obaviješteni kada su napustili svoja kolica za kupovinu na stranicama e-trgovine bez dovršetka kupovine.
Konkretno, ključ za šifrovanje je hard kodiran u dodatku, čime se omogućava hakerima da se prijave kao korisnik.
“Međutim, postoji šansa da iskorištavanjem ranjivosti zaobilaženja autentifikacije napadač može dobiti pristup administrativnom korisničkom računu ili drugom korisničkom računu višeg nivoa ako je testirao funkcionalnost napuštene korpe” rekao je istraživač sigurnosti István Márton.
Nakon odgovornog otkrivanja 30. maja 2023. godine, ranjivost je otklonjena od strane Tyche Softwares-a, 6. juna 2023. godine verzijom 5.15.0. Trenutna verzija Abandoned Cart Lite za WooCommerce je 5.15.2.
Objava dolazi kada je Wordfence otkrio još jednu grešku zaobilaženja autentifikacije koja utiče na StylemixThemesov dodatak “Kalendar rezervacija | Rezervacija termina | BookIt” (CVE-2023-2834, CVSS rezultat: 9.8) koji ima preko 10.000 WordPress instalacija.
“To je zbog nedovoljne verifikacije korisnika koji je dostavljen tokom rezervacije termina putem dodatka” objasnio je Marton. “Ovo omogućava neautorizovanim napadačima da se prijave kao bilo koji postojeći korisnik na sajtu, kao što je administrator, ako imaju pristup email-u.”
Greška, koja pogađa verzije 2.3.7 i ranije, otklonjena je u verziji 2.3.8, koja je objavljena 13. juna 2023. godine.
Izvor: The Hacker News