Se ha revelado una falla de seguridad crítica en el complemento de WordPress «Abandoned Cart Lite for WooCommerce» que es instalado en más de 30.000 sitios web.
«Esta vulnerabilidad hace posible que un atacante obtenga acceso a las cuentas de los usuarios que han abandonado sus carritos, que suelen ser clientes pero que pueden extenderse a otros usuarios de alto nivel cuando se cumplen las condiciones adecuadas», Wordfence de Defiant. dicho en un aviso.
Rastreada como CVE-2023-2986, la deficiencia ha sido calificada con 9.8 de 10 por gravedad en el sistema de puntuación CVSS. Afecta a todas las versiones del complemento, incluidas y anteriores a las versiones 5.14.2.
El problema, en esencia, es un caso de omisión de autenticación que surge como resultado de protecciones de cifrado insuficientes que se aplican cuando se notifica a los clientes cuando han abandonado sus carritos de compras en sitios de comercio electrónico sin completar la compra.
Específicamente, la clave de cifrado está codificada en el complemento, lo que permite a los actores maliciosos iniciar sesión como un usuario con un carrito abandonado.
«Sin embargo, existe la posibilidad de que al explotar la vulnerabilidad de omisión de autenticación, un atacante pueda obtener acceso a una cuenta de usuario administrativo u otra cuenta de usuario de nivel superior si ha estado probando la funcionalidad del carrito abandonado», dijo el investigador de seguridad István Márton.
Luego de la divulgación responsable el 30 de mayo de 2023, el desarrollador del complemento, Tyche Softwares, abordó la vulnerabilidad el 6 de junio de 2023 con la versión 5.15.0. La versión actual de Abandoned Cart Lite para WooCommerce es 5.15.2.
La divulgación se produce cuando Wordfence reveló otra falla de omisión de autenticación que afecta el complemento «Calendario de reservas | Reserva de citas | BookIt» de StylemixThemes (CVE-2023-2834, puntaje CVSS: 9.8) que tiene más de 10,000 instalaciones de WordPress.
«Esto se debe a una verificación insuficiente del usuario que se proporciona durante la reserva de una cita a través del complemento», Márton explicado. «Esto hace posible que los atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico».
La falla, que afectaba a las versiones 2.3.7 y anteriores, se solucionó en la versión 2.3.8, que se lanzó el 13 de junio de 2023.