WordPress “Abandoned Cart Lite for WooCommerce” eklentisinde kritik bir güvenlik açığı açıklandı. Kurulmuş 30.000’den fazla web sitesinde.
Defiant’s Wordfence, “Bu güvenlik açığı, bir saldırganın alışveriş sepetlerini terk eden, genellikle müşteri olan ancak doğru koşullar sağlandığında diğer üst düzey kullanıcılara ulaşabilen kullanıcıların hesaplarına erişmesini mümkün kılıyor.” söz konusu bir danışmada.
CVE-2023-2986 olarak izlenen eksiklik, CVSS puanlama sisteminde ciddiyet açısından 10 üzerinden 9,8 olarak derecelendirildi. 5.14.2 sürümleri dahil olmak üzere eklentinin tüm sürümlerini etkiler.
Sorunun özünde, müşterilerin e-ticaret sitelerinde alışveriş sepetlerini satın alma işlemini tamamlamadan terk ettikleri konusunda bilgilendirildiklerinde uygulanan yetersiz şifreleme korumalarının bir sonucu olarak ortaya çıkan bir kimlik doğrulama atlama durumudur.
Spesifik olarak, şifreleme anahtarı eklentide sabit olarak kodlanmıştır, böylece kötü niyetli aktörlerin terk edilmiş bir sepete sahip bir kullanıcı olarak oturum açmasına olanak tanır.
Güvenlik araştırmacısı István Márton, “Ancak, bir saldırganın kimlik doğrulama güvenlik açığından yararlanarak bir yönetici kullanıcı hesabına veya terk edilmiş alışveriş sepeti işlevini test ediyorsa başka bir üst düzey kullanıcı hesabına erişim elde etme olasılığı vardır” dedi.
30 Mayıs 2023’teki sorumlu açıklamanın ardından güvenlik açığı, eklenti geliştiricisi Tyche Softwares tarafından 6 Haziran 2023’te 5.15.0 sürümüyle giderildi. Abandoned Cart Lite for WooCommerce’in mevcut sürümü 5.15.2’dir.
Açıklama, Wordfence’in StylemixThemes’in “Rezervasyon Takvimi | Randevu Rezervasyonu | BookIt” eklentisini (CVE-2023-2834, CVSS puanı: 9.8) etkileyen başka bir kimlik doğrulama bypass kusurunu ortaya çıkarmasıyla geldi. 10.000 WordPress kurulumu.
Márton, “Bunun nedeni, eklenti aracılığıyla bir randevu alınırken kullanıcıya sağlanan yetersiz doğrulamadır.” açıkladı. “Bu, kimliği doğrulanmamış saldırganların, e-postaya erişimleri varsa, yönetici gibi sitede mevcut herhangi bir kullanıcı olarak oturum açmasını mümkün kılar.”
2.3.7 ve önceki sürümleri etkileyen kusur, 13 Haziran 2023’te yayınlanan 2.3.8 sürümünde giderildi.