Perfect Pixel

Vulnerabilitati descoperite in cinci plugin-uri WordPress WooCommerce

noiembrie 14, 2022 Mentenanta Web 32 Afisari

Vulnerabilitati descoperite in cinci plugin-uri WooCommerce WordPress cu peste 135.000 de instalari.

Guvernul SUA National Vulnerability Database (NVD) a publicat avertismente cu privire la vulnerabilitati in cinci plugin-uri WooCommerce WordPress care afecteaza peste 135.000 de instalari.

Multe dintre vulnerabilitati variaza in gravitate pana la Critica si au o cota de 9,8 pe o scara de la 1 la 10.

Fiecarei vulnerabilitati i s-a atribuit un numar de identitate CVE (Common Vulnerabilities and Exposures) dat vulnerabilitatilor descoperite.

1. Advanced Order Export For WooCommerce

Pluginul Advanced Order Export for WooCommerce, instalat pe peste 100.000 de site-uri web, este vulnerabil la un atac Cross-Site Request Forgery (CSRF).

O vulnerabilitate Cross-Site Request Forgery (CSRF) apare dintr-o defectiune a unui plugin pentru site-ul web care permite unui atacator sa pacaleasca un utilizator al site-ului web pentru a efectua o actiune neintentionata.

Browserele de site-uri web contin de obicei cookie-uri care spun unui site web ca un utilizator este inregistrat si conectat. Un atacator isi poate asuma nivelurile de privilegii ale unui administrator. Acest lucru ofera atacatorului acces deplin la un site web, expune informatii sensibile despre clienti si asa mai departe.

Aceasta vulnerabilitate specifica poate duce la descarcarea fisierului de export. Descrierea vulnerabilitatii nu descrie ce fisier poate fi descarcat de un atacator.

2. Advanced Dynamic Pricing for WooCommerce

Al doilea plugin afectat este pluginul Advanced Dynamic Pricing pentru WooCommerce, care este instalat pe peste 20.000 de site-uri web.

S-a descoperit ca acest plugin are doua vulnerabilitati Cross-Site Request Forgery (CSRF) care afecteaza toate versiunile de plugin mai mici decat 4.1.6.

Scopul pluginului este de a facilita comerciantilor sa creeze reguli de reduceri si preturi.

3. Advanced Coupons for WooCommerce Coupons plugin

Al treilea plugin afectat, Advanced Coupons for WooCommerce Coupons, are peste 10.000 de instalări.

Problema descoperită în acest plugin este și o vulnerabilitate CSRF și afectează toate versiunile mai mici de 4.5.01.

4. WooCommerce Dropshipping by OPMC – Critic

Al patrulea software afectat este pluginul WooCommerce Dropshipping by OPMC, care are peste 3.000 de instalari.

Versiunile acestui plugin mai mici decat versiunea 4.4 contin o vulnerabilitate de injectare SQL neautentificata evaluata la 9,8 (pe o scara de la 1 la 10) si etichetata drept Critica.

In general, o vulnerabilitate de injectare SQL permite unui atacator sa manipuleze baza de date WordPress si sa isi asume permisiuni la nivel de administrator, sa faca modificari in baza de date, sa sterga baza de date sau chiar sa descarce date sensibile.

5. Role Based Pricing for WooCommerce

Pluginul Role Based Precing pentru WooCommerce are doua vulnerabilitati Cross-Site Request Forgery (CSRF). Exista 2.000 de instalari ale acestui plugin.

Dupa cum sa mentionat despre un alt plugin, o vulnerabilitate CSRF implica, in general, un atacator care pacaleste un administrator sau alt utilizator pentru a face clic pe un link sau pentru a efectua o alta actiune. Acest lucru poate duce la obtinerea de catre atacator a nivelurilor de permisiuni ale site-ului web ale utilizatorului.

Aceasta vulnerabilitate este evaluata cu 8,8 ridicat.

Recomandam actualizarea tuturor pluginurilor vulnerabile listate mai sus. Cea mai buna practica sa faceti o copie de rezerva a site-ului inainte de a face actualizari de plugin. Perfect Pixel Design ofera servicii de mentenata web prin care ne ocupam de actualizarea modulelor.

Incepe urmatorul proiect cu Perfect Pixel

Trimite-ne toate detaliile proiectului iar noi iti vom trimite oferta de pret.