Vi parliamo ora di un’estensione del plugin WooCommerce WordPress, ossia il software che viene dal 28% di tutti i negozi online, ed è stato recentemente patchato contro una vulnerabilità di scripting cross-site riflessa.
La vulnerabilità è stata individuata nel plugin Product Vendors che permette a un sito di ecommerce esistente di supportare più venditori, prodotti e opzioni di pagamento contemporaneamente. Le versioni 2.0.35 e precedenti sono influenzate da questa vulnerabilità e i proprietari di siti hanno evidenziato il problema
Ad oggi sono quindi disponibili aggiornamenti automatici, ma che però sono in dipendenza dalla configurazione di un sito , a seconda della soluzione di hosting scelta. Non tutti potranno beneficiarne.
Dichiara Logan Kipp, di WordPress per SiteLock in merito alla vulnerabilità di WooCommerce verso reflected XSS
“Al momento della scoperta era un giorno zero sulla versione corrente”, . “Se questo fosse stato scoperto da qualcun altro, potrebbe essere stato un vero problema”.
Evidenziando in modo coerente il pericolo corso. Kipp ha affermato che il bug reflected XSS è stato trovato nel form d’iscrizione dei nuovi utenti fornitori.
Dice sempre Kipp
“Teoricamente, questo è armonizzabile inviando un articolo a un link facendo una serie di login su quel sito”, “E se hanno una sessione attiva, puoi sbaragliare quella sessione”.
Quindi cercando di comprendere meglio
Un utente malintenzionato potrebbe inviare un messaggio di posta elettronica a quel link creato a un fornitore avente un sito che utilizza WooCommerce. Se il venditore è connesso e clicca sul link, il malintenzionato potrebbe catturare la sessione e eseguire script sul browser del fornitore, prendendo il controllo di tutte le funzionalità che hanno,
Precisa infatti Kipp
“Le probabilità sono molto alte di fare clic sul link e avere privilegi molto alti”,
E ha sempre precisato in una successiva intervista
“È un mezzo per andare oltre, un punto di aggangio. Quindi, sebbene in sé non possa causare danni diretti al sito web, potremmo potenzialmente ottenere privilegi di amministratore per dirottare le sessioni”.
A differenza dei bug persistenti di script di cross-site dove un aggressore può abbandonare il codice arbitrario in un sito attraverso un’interazione non filtrata, Con reflected XSS un attaccante può iniettare del codice eseguibile solo su una sessione anziché nell’applicazione. Questi tipi di attacchi sono più comuni,
“Molte volte è trascurato perché le persone non lo prendono sul serio. È un problema enorme perché le persone non sempre capiscono che forse non può modificare il sito stesso, ma questo è un vettore perfettamente armonizzabile per indirizzare i visitatori “,
ha detto.
Un aggressore può creare un URL, ad esempio in questo caso, per inviare automaticamente le voci inserite nel modulo in modo che non appena una vittima fa clic sul collegamento, viene eseguito lo script maligno. Nel caso del plug-in WooCommerce, c’è una grande probabilità che i produttori potenziali possano avere una domanda sul modulo e attirare l’amministratore del sito per eseguire uno script dannoso.
La vulnerabilità è stata fatta presente a Automattic, la società madre dietro WooCommerce, attraverso il suo programma HackerOne bug bounty . SiteLock ha ricevuto un $ 225 che ha donato alla Fondazione WordPress.
“La cosa fantastica per la patch di vulnerabilità di scripting cross-site è che è molto semplice iniettarla all’interno del tuo codice.”
Insomma l’invito che vi facciamo è aggiornate sempre la vostra versione di WordPress che di WooCommerce non appena è presente una nuova versione e come sempre abbondate di Backup.