Doplněk elektronického obchodování WordPress ohrožuje více než 5 000 webových stránek

TheCartPress, e-commerce plug-in používaný na tisících webových stránek založených na WordPress, má několik vysoce rizikových zranitelných míst.

Momentálně nejsou k dispozici žádné opravy chyb a podle jejího vývojáře bude podpora plug-inu ukončena 1. června..

Tato zranitelnost by mohla útočníkům umožnit „provádět libovolný kód PHP, zveřejňovat citlivá data a provádět útoky XSS] napříč webem proti uživatelům instalací WordPress pomocí zranitelného plug-inu,“ uvedli vědci z bezpečnostní firmy High-Tech Bridge. poradní středu.

Existují faktory, které omezují využívání některých nedostatků, ale stále představují značné riziko.

Například zneužití této chyby zabezpečení, která umožňuje spuštění kódu PHP, vyžaduje, aby měl útočník na webu WordPress administrátorská oprávnění. Podle vědců z High-Tech Bridge by však útočník mohl také přimět skutečného administrátora, aby spustil zneužití, navštívením škodlivé stránky. Toto je známo jako útok na padělání požadavků mezi weby (CSRF).

Další chyba zabezpečení umožňuje neověřeným útočníkům procházet objednávky zadané uživateli webu elektronického obchodování, který používá plug-in.

Ve správním panelu i na uživatelsky přístupných stránkách se vyskytuje také více problémů s XSS. Tyto nedostatky by útočníkům umožnily přimět uživatele webu, aby provedli nepoctivé akce, když kliknou na konkrétně vytvořené adresy URL. Útoky XSS, kde obětí je správce webu, očividně představují nejvyšší riziko.

Vědci High-Tech Bridge tvrdí, že se pokoušeli informovat vývojáře plug-inu o nedostatcích od 8. dubna bez úspěchu. Poukazují na to, že vývojář již oznámil, že „podpora pro TheCartPress skončí 1. června 2015.“

Vzhledem k tomu, že není jasné, zda budou vady někdy odstraněny, vědci doporučují tento modul deaktivovat nebo odebrat. Podle statistik z oficiálního úložiště plug-in WordPress má TheCartPress v současné době více než 5 000 aktivních instalací.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.