Ngày 22 tháng 6 năm 2023Ravie LakshmananBảo mật trang web / WordPress
Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong plugin “Abandoned Cart Lite for WooCommerce” của WordPress được cài đặt trên hơn 30.000 trang web.
“Lỗ hổng này giúp kẻ tấn công có thể truy cập vào tài khoản của những người dùng đã từ bỏ giỏ hàng của họ, những người thường là khách hàng nhưng có thể mở rộng sang những người dùng cấp cao khác khi đáp ứng các điều kiện phù hợp,” Defiant's Wordfence cho biết trong một lời khuyên. .
Được theo dõi là CVE-2023-2986, lỗi này được xếp hạng 9,8/10 về mức độ nghiêm trọng trên hệ thống tính điểm CVSS. Nó ảnh hưởng đến tất cả các phiên bản của plugin, bao gồm và trước phiên bản 5.14.2.
Cốt lõi của vấn đề là trường hợp bỏ qua xác thực phát sinh do không đủ biện pháp bảo vệ mã hóa được áp dụng khi khách hàng được thông báo khi họ từ bỏ giỏ hàng của mình trên các trang web thương mại điện tử mà không hoàn tất giao dịch mua.
Cụ thể, khóa mã hóa được mã hóa cứng trong plugin, do đó cho phép các tác nhân độc hại đăng nhập với tư cách người dùng có giỏ hàng bị bỏ rơi.
Nhà nghiên cứu bảo mật István Márton cho biết: “Tuy nhiên, có khả năng bằng cách khai thác lỗ hổng bỏ qua xác thực, kẻ tấn công có thể có quyền truy cập vào tài khoản người dùng quản trị hoặc tài khoản người dùng cấp cao khác nếu họ đang thử nghiệm chức năng giỏ hàng bị bỏ rơi”.
Sau khi tiết lộ có trách nhiệm vào ngày 30 tháng 5 năm 2023, lỗ hổng này đã được nhà phát triển plugin, Tyche Softwares, xử lý vào ngày 6 tháng 6 năm 2023, với phiên bản 5.15.0. Phiên bản hiện tại của Abandoned Cart Lite cho WooCommerce là 5.15.2.
Tiết lộ được đưa ra khi Wordfence tiết lộ một lỗ hổng bỏ qua xác thực khác ảnh hưởng đến plugin “Booking Calendar | Appointment Booking | BookIt” của StylemixThemes (CVE-2023-2834, điểm CVSS: 9,8) có hơn 10.000 lượt cài đặt WordPress.
“Điều này là do xác minh không đủ đối với người dùng được cung cấp trong khi đặt lịch hẹn thông qua plugin,” Márton giải thích. “Điều này giúp những kẻ tấn công không được xác thực có thể đăng nhập với tư cách là bất kỳ người dùng hiện có nào trên trang web, chẳng hạn như quản trị viên, nếu họ có quyền truy cập vào email.”
Lỗ hổng, ảnh hưởng đến các phiên bản 2.3.7 trở về trước, đã được xử lý trong phiên bản 2.3.8, được phát hành vào ngày 13 tháng 6 năm 2023.