Wtyczka WooCommerce 3.5.4 do WordPressa z poważną luką

6 marca, 2019

Eksperci z FortGuard Labs znaleźli lukę w module WooCommerce dla popularnego systemu CMS WordPress. Szacuje się, że WooCommerce jest platformą e-commerce nr 1 na świecie, posiadającą aż 22% udziału w rynku. Podatność CVE-2019-9168 umożliwia wykonanie ataku XSS, którego skutkiem będzie wstrzyknięcie dowolnego kodu do witryny internetowej z modułem WooCommerce — kiedy ofiara odwiedzi stronę internetową z wprowadzonym kodem, osoba atakująca może przejąć kontrolę nad przeglądarką ofiary, przejąć bieżącą sesję WooCommerce, zebrać poufne informacje. Ta luka w zabezpieczeniach modułu dotyczy wersji WooCommerce 3.5.4 i poprzednich. Zalecana jest pilna aktualizacja do 3.5.5.

Do wykonania ataku nie potrzeba uprawnień administratora WordPressa, ale jakieś uprawnienia są potrzebne. Przynajmniej niskie — pracownika wprowadzającego produkt do listy zakupów.

Atak wygląda tak:

1. Wprowadzenie kodu JavaScript do opisu produktu:

WooCommerce CVE-2019-9168

2. Opublikowanie produktu na stronie WWW w formie obrazka.

Link do produktu z kodem JavaScript można przesłać administratorowi, który ma najwyższe uprawnienia.

3. Ofiara po kliknięciu buttonu do powiększenia obrazka wykonuje kod z opisu.

Efekt uruchomienia kodu.

Luka może być do wykorzystania również w podglądzie w menadżerze produktów przed oficjalnym opublikowaniem na stronie. Kierownik sklepu, przeglądając wprowadzone produkty, może uruchomić kod na serwerze ze swojego komputera. To, jakie ma uprawnienia, będzie mieć wpływ na powagę ataku.

Zaleca się zaktualizowanie wtyczki WooCommerce do najnowszej wersji. Celem tego ataku mogą być witryny eCommerce zawierające poufne dane klientów, dlatego ryzyko i późniejsze konsekwencje są jeszcze większe.

Do ochrony aplikacji internetowych, sklepów, warto wykorzystać tzw. WAF-y (Web Application Firewall) posiadające sygnatury znanych ataków. Zapewniają je e-usługi takie jak CloudFlare w wersjach komercyjnych lub sprzętowe rozwiązania NGFW, które są zainstalowane w tej samej sieci, co serwer ze stroną internetową. 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]