De National Vulnerability Database (NVD) van de Amerikaanse overheid heeft waarschuwingen gepubliceerd voor kwetsbaarheden in vijf WooCommerce WordPress-plug-ins die van invloed zijn op meer dan 135.000 installaties.

Veel van de kwetsbaarheden variëren in ernst van kritiek tot kritiek en hebben een score van 9,8 op een schaal van 1-10.

Elke kwetsbaarheid kreeg een Common Vulnerabilities and Exposures (CVE)-identificatienummer toegewezen aan ontdekte kwetsbaarheden.

1. Geavanceerde orderexport voor WooCommerce

De plug-in Advanced Order Export for WooCommerce, geïnstalleerd op meer dan 100.000 websites, is kwetsbaar voor een aanval op cross-site request forgery (CSRF).

Een kwetsbaarheid voor cross-site request forgery (CSRF) ontstaat door een fout in een website-plug-in waarmee een aanvaller een websitegebruiker kan misleiden tot het uitvoeren van een onbedoelde actie.

Websitebrowsers bevatten doorgaans cookies die een website vertellen dat een gebruiker is geregistreerd en ingelogd. Een aanvaller kan de bevoegdheden van een beheerder overnemen. Dit geeft de aanvaller volledige toegang tot een website, stelt gevoelige klantinformatie bloot, enz.

Deze specifieke kwetsbaarheid kan leiden tot het downloaden van een exportbestand. De kwetsbaarheidsbeschrijving beschrijft niet welk bestand een aanvaller kan downloaden.

Aangezien het doel van de plug-in is om bestelgegevens uit WooCommerce te exporteren, kan het redelijk zijn om aan te nemen dat bestelgegevens het type bestand zijn waartoe een aanvaller toegang heeft.

De officiële beschrijving van de kwetsbaarheid:

“Cross-site request forgery (CSRF) kwetsbaarheid in de Advanced Order Export plugin voor WooCommerce <= 3.3.2 in WordPress leidt tot het downloaden van exportbestanden".

De kwetsbaarheid treft alle versies van de Advanced Order Export for WooCommerce-plug-in die lager zijn dan of gelijk zijn aan versie 3.3.2.

In de officiële changelog van de plug-in staat dat de kwetsbaarheid is gepatcht in versie 3.3.3.

Meer informatie in de Nationale Vulnerability Database (NVD): CVE-2022-40128

2. Geavanceerde dynamische prijzen voor WooCommerce

De tweede getroffen plug-in is de Advanced Dynamic Pricing-plug-in voor WooCommerce, die op meer dan 20.000 websites is geïnstalleerd.

Er is ontdekt dat deze plug-in twee kwetsbaarheden voor cross-site request forgery (CSRF) bevat die van invloed zijn op alle plug-inversies onder 4.1.6.

Het doel van de plug-in is om het voor verkopers gemakkelijker te maken om kortings- en prijsregels te maken.

De eerste kwetsbaarheid (CVE-2022-43488) kan een “rule type migratie” veroorzaken.

Dit is een beetje vaag. Misschien kan worden aangenomen dat de kwetsbaarheid iets te maken heeft met de mogelijkheid om de prijsregels te wijzigen.

De officiële omschrijving van de NVD:

“Cross-Site Request Forgery (CSRF) Kwetsbaarheid in Advanced Dynamic Pricing Plugin voor WooCommerce <= 4.1.5 in WordPress leidt tot migratie van regeltype".

Meer informatie in de NVD: CVE-2022-43488

NVD kende de tweede CSRF-kwetsbaarheid in de Advanced Dynamic Pricing for WooCommerce-plug-in een CVE-nummer toe, CVE-2022-43491.

De officiële NVD-beschrijving van de kwetsbaarheid is:

“Cross-site request forgery (CSRF)-kwetsbaarheid in de Advanced Dynamic Pricing-plug-in voor WooCommerce <= 4.1.5 op WordPress, wat leidt tot het importeren van plug-insconfiguraties."

De officiële wijzigingslognotities van de plug-in:

“Changelog – 4.1.6 – 2022-10-26

Enkele kapotte toegangscontrole en CSRF-kwetsbaarheden verholpen”

Lees de officiële aankondiging van NVD: CVE-2022-43491

3. Advanced Coupons Plugin voor WooCommerce Coupons

De derde getroffen plug-in, Advanced Coupons for WooCommerce Coupons, heeft meer dan 10.000 installaties.

Het probleem dat in deze plug-in is ontdekt, is ook een CSRF-kwetsbaarheid en treft alle versies onder 4.5.01.

Noemt het wijzigingslogboek van de plug-in de patch een bugfix?

“4.5.0.1”

Bugfix: AJAX-verzoek om startwaarschuwing te negeren heeft geen noce-waarde.

De officiële NVD-beschrijving is:

“Cross-Site Request Forgery (CSRF) Kwetsbaarheid in Advanced Coupons Plugin voor WooCommerce Coupons <= 4.5 in WordPress leidt tot verlossing".

Meer informatie in de NVD: CVE-2022-43481

4. WooCommerce Dropshipping door OPMC: kritiek

De vierde getroffen software is de WooCommerce Dropshipping by OPMC-plug-in, die meer dan 3.000 installaties heeft.

Versies van deze plug-in onder versie 4.4 bevatten een niet-geverifieerde kwetsbaarheid voor SQL-injectie met een beoordeling van 9,8 (op een schaal van 1-10) en gelabeld als kritiek.

Over het algemeen stelt een kwetsbaarheid voor SQL-injectie een aanvaller in staat om de WordPress-database te manipuleren en machtigingen op beheerdersniveau aan te nemen, wijzigingen aan te brengen in de database, de database te verwijderen of zelfs gevoelige gegevens te downloaden.

De NVD beschrijft deze plug-in-specifieke kwetsbaarheid:

“De WooCommerce Dropshipping WordPress-plug-in vóór 4.4 reinigt of ontsnapt niet goed aan een parameter voordat deze wordt gebruikt in een SQL-instructie via een REST-eindpunt dat beschikbaar is voor niet-geverifieerde gebruikers, wat leidt tot een SQL-injectie.”

Meer informatie in de NVD: CVE-2022-3481

Lees de officiële plugin changelog.

5. Op rollen gebaseerde prijzen voor WooCommerce

De plug-in Role-Based Pricing voor WooCommerce heeft twee kwetsbaarheden voor Cross-Site Request Forgery (CSRF). Er zijn 2000 installaties van deze plug-in.

Zoals vermeld in een andere plug-in, houdt een CSRF-kwetsbaarheid in het algemeen in dat een aanvaller een beheerder of andere gebruiker misleidt om op een link te klikken of een andere actie te ondernemen. Dit kan ertoe leiden dat de aanvaller de machtigingsniveaus van de website van de gebruiker krijgt.

Deze kwetsbaarheid heeft een hoge score van 8,8.

De NVD-beschrijving van de eerste kwetsbaarheid waarschuwt:

“De plug-in Role-Based Pricing voor WooCommerce WordPress vóór 1.6.2 mist de juiste autorisatie en CSRF-controles en valideert geen bestanden die moeten worden geüpload, waardoor elke gebruiker die als abonnee is geverifieerd, willekeurige bestanden, zoals PHP, kan uploaden”.

Het volgende is NVD’s officiële beschrijving van de tweede kwetsbaarheid:

“Op rollen gebaseerde prijzen voor de WooCommerce WordPress-plug-in vóór 1.6.3 missen de juiste autorisatie en CSRF-controles, evenals het niet valideren van het pad dat wordt gegeven door gebruikersinvoer, waardoor elke geverifieerde gebruiker zoals abonnee PHAR-deserialisatie-aanvallen kan uitvoeren wanneer het een bestand en er is een geschikte gadgetketen in het blok”

De changelog voor de officiële WordPress op rollen gebaseerde prijsplug-in voor WooCommerce meldt dat de plug-in volledig is gepatcht op versie 1.6.2:

“Changelog 2022-10-01 – versie 1.6.2”

* Vaste kwetsbaarheid voor het uploaden van willekeurige bestanden.

* Probleem opgelost met ajax nonce-controle.

Lees de officiële NVD-documentatie:

CVE-2022-3537

CVE-2022-3536

werkwijze

Het wordt als een goede gewoonte beschouwd om alle kwetsbare plug-ins bij te werken. Het is ook een goede gewoonte om een ​​back-up van uw site te maken voordat u plug-in-updates uitvoert, en (indien mogelijk) uw site te stagen en de plug-in te testen voordat u deze bijwerkt.

Uitgelichte afbeelding door Shutterstock/Master1305

Source link