More

    WordPress: Pronađena kritična greška u WooCommerce dodatku koji koristi 30.000 web stranica

    Nikola Maričić
    By Nikola Maričić
    Novosti

    Kritična sigurnosna greška otkrivena je u WordPress dodatku “Abandoned Cart Lite for WooCommerce” koji je instaliran na više od 30.000 web stranica.

    “Ova ranjivost omogućava napadaču da dobije pristup nalozima korisnika koji su napustili svoje korpe, koji su obično kupci, ali se mogu proširiti i na druge korisnike visokog nivoa kada su ispunjeni pravi uslovi” navodi Defiant’s Wordfence u savjetovanju.

    Praćen kao CVE-2023-2986, nedostatak je ocenjen sa 9,8 od 10 za ozbiljnost u CVSS sistemu bodovanja. Utiče na sve verzije dodatka, uključujući i starije verzije 5.14.2.

    Problem, u svojoj srži, je slučaj zaobilaženja autentifikacije koji nastaje kao rezultat nedovoljne zaštite enkripcije koja se primjenjuje kada su kupci obaviješteni kada su napustili svoja kolica za kupovinu na stranicama e-trgovine bez dovršetka kupovine.

    Konkretno, ključ za šifrovanje je hard kodiran u dodatku, čime se omogućava hakerima da se prijave kao korisnik.

    “Međutim, postoji šansa da iskorištavanjem ranjivosti zaobilaženja autentifikacije napadač može dobiti pristup administrativnom korisničkom računu ili drugom korisničkom računu višeg nivoa ako je testirao funkcionalnost napuštene korpe” rekao je istraživač sigurnosti István Márton.

    Nakon odgovornog otkrivanja 30. maja 2023. godine, ranjivost je otklonjena od strane Tyche Softwares-a, 6. juna 2023. godine verzijom 5.15.0. Trenutna verzija Abandoned Cart Lite za WooCommerce je 5.15.2.

    Objava dolazi kada je Wordfence otkrio još jednu grešku zaobilaženja autentifikacije koja utiče na StylemixThemesov dodatak “Kalendar rezervacija | Rezervacija termina | BookIt” (CVE-2023-2834, CVSS rezultat: 9.8) koji ima preko 10.000 WordPress instalacija.

    “To je zbog nedovoljne verifikacije korisnika koji je dostavljen tokom rezervacije termina putem dodatka” objasnio je Marton. “Ovo omogućava neautorizovanim napadačima da se prijave kao bilo koji postojeći korisnik na sajtu, kao što je administrator, ako imaju pristup email-u.”

    Greška, koja pogađa verzije 2.3.7 i ranije, otklonjena je u verziji 2.3.8, koja je objavljena 13. juna 2023. godine.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories

    Novosti

    Sophos kupuje Secureworks za 859 miliona dolara

    Novosti

    Firma za kriptovalute Transak pogođena nakon hakovanja laptopa zaposlenog

    Novosti

    VMware izdaje ažuriranje vCenter servera da popravi kritičnu ranjivost RCE-a

    Novosti

    Vodič: Ultimate Pentest Checklist za full-stack sigurnost

    Novosti

    Novi AI alat za otkrivanje 0-dana u velikom obimu klikom na dugme

    Novosti

    Internet arhiva ponovo provaljena, hakeri su iskoristili nerotirane API tokene

    OSTAVI ODGOVOR

    Molimo unesite komentar!
    Ovdje unesite svoje ime

    © Copyright - Kiber.ba