Kritična mana u sigurnosti je pronađena u WooCommerce dodatku „Abanoned Cart Lite for WooCommerce.“
Kako saznajemo, ranjivost omogućava napadačima da preuzmu kontrolu nad računima svih korisnika koji su stavili robu u košaricu tokom kupnje te potom napustili web dućan. Pod specifičnim uvjetima, moguće je preuzeti čak i da admin level račune.
Nazvan CVE-2023-2976, ovaj exploit je dobio najvišu oznaku rizika po CVSS. Sve verzije dodatka su ranjive, tako da ako koristite navedeni plugin obavezno ga zamijenite ili deaktivirajte što prije.
Problem je, izgleda, u lošoj enkripciji poruka koje se šalju nakon što korisnik napusti web dućan, što omogućava napadačima da zaobiđu normalni proces autentifikacije.
Kreatori plugina su, izgleda, ostavili kod enkripcije unutar koda plugina – takozvani hard-code – što nije u skladu s najboljim praksama WordPressa.
Kako smo naveli ranije, postoji mogućnost da napadač preuzme admin-level račune ali samo ako je takav račun naprimjer testirao funkcionalnost košarice te ostavio proizvode.
Ovo je samo jedan u nizu problema koji su se nedavno pojavili na WordPressu. Ranjivost dodatka Booking Calendar je otkrivena ranije ovog mjeseca, također omogućavajući napadačima da se logiraju u sustav.
Svakako izbrišite plugin i provjerite da li se netko ulogirao u Vaš wordpress admin panel.
