Secondo Patchstack, sono state rilevate numerose vulnerabilità di sicurezza nel plugin WooCommerce Amazon Affiliates (WZone).
Questo plugin WordPress premium, sviluppato da AA-Team e che vanta oltre 35.000 vendite, è progettato per aiutare i proprietari di siti e i blogger a monetizzare i loro siti Web tramite il programma di affiliazione Amazon.
Le vulnerabilità identificate sono gravi e colpiscono tutte le versioni testate, inclusa la versione 14.0.10 e potenzialmente quelle dalla versione 14.0.20 in poi.
Uno dei problemi critici è una vulnerabilità di aggiornamento di opzioni arbitrarie autenticate, assegnata a CVE-2024-33549. Questo difetto consente agli utenti autenticati di aggiornare opzioni WP arbitrarie, portando potenzialmente a un'escalation dei privilegi. Questa vulnerabilità, che rimane senza patch, potrebbe consentire agli aggressori di ottenere un accesso di livello superiore al sito WordPress, ponendo notevoli rischi per la sicurezza.
Inoltre, lo studio Patchstack ha rilevato due tipi di vulnerabilità SQL injection, sia SQL injection non autenticata che autenticata, assegnate rispettivamente a CVE-2024-33544 e CVE-2024-33546.
Queste vulnerabilità consentono sia agli utenti non autenticati che a quelli autenticati di inserire query SQL dannose nel database WordPress, portando a violazioni o manipolazioni dei dati. La gravità di questi difetti evidenzia la necessità di un’azione immediata da parte degli amministratori dei siti che utilizzano questo plugin.
Patchstack ha consigliato agli utenti di disattivare ed eliminare il plugin WZone a causa dell'assenza di una versione con patch.
Nonostante i tentativi segnalati da Patchstack di contattare il fornitore, non è stata ricevuta alcuna risposta, spingendo l'azienda a pubblicare le vulnerabilità e fornire misure protettive per i propri utenti.
“La cosa più importante quando si implementa un'azione o un processo è applicare la convalida dell'autorizzazione o del ruolo e del nonce. Il controllo dei permessi o dei ruoli potrebbe essere convalidato utilizzando la funzione current_user_can e il valore nonce potrebbe essere convalidato utilizzando wp_verify_nonce o check_ajax_referer”, si legge nel redazione tecnica.
“Per il processo di query SQL, esegui sempre un escape sicuro e un formato per l'input dell'utente prima di eseguire una query e non fornire mai accesso arbitrario agli utenti per aggiornare le tabelle nel database.”
Credito immagine: T. Schneider / Shutterstock.com