...
Perfect Pixel

Plugin-uri WordPress WooCommerce – 5 Vulnerabilitati descoperite

noiembrie 14, 2022 Mentenanta Web 3 minute de citit

Ultima actualizare pe 7 ianuarie, 2024Vulnerabilitati descoperite in cinci plugin-uri WooCommerce WordPress cu peste 135.000 de instalari.

Guvernul SUA National Vulnerability Database (NVD) a publicat avertismente cu privire la vulnerabilitati in cinci plugin-uri WooCommerce WordPress care afecteaza peste 135.000 de instalari.

Multe dintre vulnerabilitati variaza in gravitate pana la Critica si au o cota de 9,8 pe o scara de la 1 la 10.

Fiecarei vulnerabilitati i s-a atribuit un numar de identitate CVE (Common Vulnerabilities and Exposures) dat vulnerabilitatilor descoperite.

1. Advanced Order Export For WooCommerce

Pluginul Advanced Order Export for WooCommerce, instalat pe peste 100.000 de site-uri web, este vulnerabil la un atac Cross-Site Request Forgery (CSRF).

O vulnerabilitate Cross-Site Request Forgery (CSRF) apare dintr-o defectiune a unui plugin pentru site-ul web care permite unui atacator sa pacaleasca un utilizator al site-ului web pentru a efectua o actiune neintentionata.

Browserele de site-uri web contin de obicei cookie-uri care spun unui site web ca un utilizator este inregistrat si conectat. Un atacator isi poate asuma nivelurile de privilegii ale unui administrator. Acest lucru ofera atacatorului acces deplin la un site web, expune informatii sensibile despre clienti si asa mai departe.

Aceasta vulnerabilitate specifica poate duce la descarcarea fisierului de export. Descrierea vulnerabilitatii nu descrie ce fisier poate fi descarcat de un atacator.

2. Advanced Dynamic Pricing for WooCommerce

Al doilea plugin afectat este pluginul Advanced Dynamic Pricing pentru WooCommerce, care este instalat in peste 20.000 de site-uri web.

S-a descoperit ca acest plugin are doua vulnerabilitati Cross-Site Request Forgery (CSRF) care afecteaza toate versiunile de plugin mai mici decat 4.1.6.

Scopul pluginului este de a facilita comerciantilor sa creeze reguli de reduceri si preturi.

3. Advanced Coupons for WooCommerce Coupons plugin

Al treilea plugin afectat, Advanced Coupons for WooCommerce Coupons, are peste 10.000 de instalari.

Problema descoperita in acest plugin este si o vulnerabilitate CSRF si afecteaza toate versiunile mai mici de 4.5.01.

4. WooCommerce Dropshipping by OPMC – Critic

Al patrulea software afectat este pluginul WooCommerce Dropshipping by OPMC, care are peste 3.000 de instalari.

Versiunile acestui plugin mai mici decat versiunea 4.4 contin o vulnerabilitate de injectare SQL neautentificata evaluata la 9,8 (pe o scara de la 1 la 10) si etichetata drept Critica.

In general, o vulnerabilitate de injectare SQL permite unui atacator sa manipuleze baza de date WordPress si sa isi asume permisiuni la nivel de administrator, sa faca modificari in baza de date, sa sterga baza de date sau chiar sa descarce date sensibile.

5. Role Based Pricing for WooCommerce

Pluginul Role Based Precing pentru WooCommerce are doua vulnerabilitati Cross-Site Request Forgery (CSRF). Exista 2.000 de instalari ale acestui plugin.

Dupa cum am mentionat mai sus, o vulnerabilitate CSRF implica, in general, un atacator care pacaleste un administrator sau alt utilizator pentru a face clic pe un link sau pentru a efectua o alta actiune. Acest lucru poate duce la obtinerea de catre atacator a nivelurilor de permisiuni ale site-ului web ale utilizatorului.

Aceasta vulnerabilitate este evaluata cu 8,8, ridicat.

Recomandam actualizarea tuturor pluginurilor vulnerabile de mai sus. Nu uitati sa faceti o copie de rezerva a site-ului inainte de a face actualizari de plugin. Daca nu detineti cunostintele necesare pentru a va securiza si actualiza site-ul, Perfect Pixel Design ofera servicii de mentenata web.

Cu toate acestea, WordPress este considerat la scara larga, ca fiind unul dintre cele mai bune sisteme de gestionare a continutului (CMS). Din totalul site-urilor web existente pe Internet, WordPress administreaza aproximativ 43,00% din acestea.

Noi suntem de parere ca WordPress este cel mai flexibil constructor de site-uri web de pe piata, in acest moment. Aceasta excelenta platforma iti permite sa construiesti orice tip de site, de la site-uri mici de prezentare pana la cele mai complexe. Chiar daca pornesti de la un site simplu, este posibil ca pe viitor afacerea ta sa creasca si sa necesite un site web cu mai multe functionalitati.  WordPress faciliteaza acest lucru, deoarece nu are restrictii in acest sens si dispune de peste 59.000 de plugin-uri.

Un site WordPress ofera capacitati vaste de personalizare, oferind utilizatorilor un control foarte mare in ceea ce priveste designul si functionalitatile. Daca iti doresti un site web personalizat cu functionalitati unice, WordPress ar putea fi cea mai buna solutie. 

 

 

Ti-a placut? Distribuie articol
Ti-a placut acest articol?
DaNu

Ai putea fi interesat si de:

Incepe urmatorul proiect cu Perfect Pixel

Trimite-ne toate detaliile proiectului iar noi iti vom trimite oferta de pret.