Difetto critico riscontrato nel plugin WordPress per WooCommerce utilizzato da 30.000 siti web
È stata rilevata una falla di sicurezza critica nel plug-in “Abandoned Cart Lite for WooCommerce” di WordPress installato su più di 30.000 siti web.
“Questa vulnerabilità consente a un utente malintenzionato di accedere agli account degli utenti che hanno abbandonato i propri carrelli, che in genere sono clienti ma possono estendersi ad altri utenti di alto livello quando vengono soddisfatte le giuste condizioni”, Wordfence di Defiant disse in un consulto.
Rilevato come CVE-2023-2986, il difetto è stato valutato 9,8 su 10 per la gravità nel sistema di punteggio CVSS. Ha effetto su tutte le versioni del plugin, comprese le versioni 5.14.2 e precedenti.
Il problema, in sostanza, è un caso di bypass dell’autenticazione che si verifica a causa di protezioni di crittografia insufficienti applicate quando i clienti vengono avvisati quando hanno abbandonato il carrello della spesa sui siti di e-commerce senza completare l’acquisto.
Nello specifico, la chiave di crittografia è codificata nel plug-in, consentendo così agli autori malintenzionati di accedere come utente con un carrello abbandonato.
Sconfiggi le minacce basate sull’intelligenza artificiale con Zero Trust: webinar per professionisti della sicurezza
Le misure di sicurezza tradizionali non bastano nel mondo di oggi. È il momento della sicurezza Zero Trust. Proteggi i tuoi dati come mai prima d’ora.
“Tuttavia, esiste la possibilità che, sfruttando la vulnerabilità di bypass dell’autenticazione, un utente malintenzionato possa ottenere l’accesso a un account utente amministrativo o a un altro account utente di livello superiore se ha testato la funzionalità del carrello abbandonato”, ha affermato il ricercatore di sicurezza István Márton.
In seguito alla divulgazione responsabile del 30 maggio 2023, la vulnerabilità è stata risolta dallo sviluppatore del plugin, Tyche Softwares, il 6 giugno 2023, con la versione 5.15.0. La versione attuale di Abandoned Cart Lite per WooCommerce è 5.15.2.
La divulgazione arriva quando Wordfence ha rivelato un altro difetto di bypass dell’autenticazione che incide sul plug-in “Calendario delle prenotazioni | Prenotazione degli appuntamenti | BookIt” di StylemixThemes (CVE-2023-2834, punteggio CVSS: 9,8) che ha superato 10.000 installazioni di WordPress.
“Ciò è dovuto alla verifica insufficiente dell’utente fornito durante la prenotazione di un appuntamento tramite il plugin,” Márton spiegato. “Ciò consente agli aggressori non autenticati di accedere come qualsiasi utente esistente sul sito, ad esempio un amministratore, se hanno accesso all’e-mail.”
Il difetto, che interessava le versioni 2.3.7 e precedenti, è stato risolto nella versione 2.3.8, rilasciata il 13 giugno 2023.