Encontrada vulnerabilidade em plug-in de descontos para WooCommerce(WordPress)

As falhas foram identificadas no dia 7 de agosto por pesquisadores da empresa de segurança web WebARX em Regras de Desconto para WooCommerce , um plugin que está instalado em mais de 30.000 sites e que permite aos usuários criar vários tipos de descontos para seus produtos. O desenvolvedor corrigiu as vulnerabilidades em uma semana com o lançamento da versão 2.1.0.

No entanto, agora é importante que os administradores do site atualizem o plug-in, pois o WebARX afirma ter visto ataques que exploram as vulnerabilidades.

As falhas foram descritas como injeção de SQL, scripts de cross-site armazenados (XSS) e problemas relacionados à autorização. A exploração da fragilidade do XSS armazenado pode permitir que um invasor não autenticado execute código arbitrário.

O WebARX disse à SecurityWeek que um invasor procurando explorar as vulnerabilidades teria primeiro que rastrear a Internet em busca de sites WordPress afetados, procurando pela string “woocommerce” em seu código-fonte. Assim que um alvo potencial for encontrado, eles podem enviar uma carga maliciosa.

Nos ataques observados pelo WebARX, os cibercriminosos estão injetando um arquivo JavaScript que redireciona os visitantes para seu próprio site, que provavelmente contém anúncios e malware.

“Uma vez que o problema permite que o invasor injete a carga em qualquer gancho (s) de modelo que desejar, ele pode ser usado para acionar outras explorações se o site tiver outros plug-ins vulneráveis ​​instalados, mas não vimos essa carga ainda”, explicou WebARX. “Uma vez que HTML / JavaScript pode ser injetado em qualquer gancho de modelo, isso pode ser usado de forma abusiva para executar ações indesejadas nas páginas de administração do site e, portanto, potencialmente levando à execução remota de código.”

Um estudo realizado recentemente pela WebARX mostrou que os profissionais da web estão cada vez mais preocupados com a segurança de sites. Quase 43% dos entrevistados que participaram da pesquisa da empresa disseram ter visto um aumento nos ataques, e um quarto deles viu um site ser hackeado no mês anterior à pesquisa.

Os principais desafios citados por profissionais ao lidar com segurança de sites foram a falta de conhecimento, bloqueio e prevenção de ataques, vulnerabilidades de plug-in e código de terceiros, atualizações de software e educação do cliente.

Fonte: https://www.securityweek.com/wordpress-sites-targeted-vulnerabilities-woocommerce-discounts-plugin