Woo电子商务网站提供的10个WordPress插件存在漏洞,这些插件均由同一家公司Multidots为WOO网站提供。因开发者尚未发布补丁程序,而Woo网站的插件被许多高流量网站使用,所以WordPress禁用了危险插件。以下是危险插件的信息:
- WooCommerce Category Banner Management (Active installations: 3,000+) – Unauthenticated Settings Change
- Add Social Share Messenger Buttons Whatsapp and Viber (Active installations: 500+) – Cross-site Request Forgery (CSRF)
- Advance Search for WooCommerce (Active installations: 200+) – Stored Cross-site scripting (XSS)
- Eu Cookie Notice (Active installations: 600+) – Cross-site request forgery (CSRF)
- Mass Pages/Posts Creator (Active installations: 1,000+) – Authenticated Stored Cross-Site scripting (XSS)
- Page Visit Counter (Active installations: 10,000+) – SQL Injection
- WooCommerce Checkout For Digital Goods (Active installations: 2,000) – Cross-site request forgery (CSRF)
- WooCommerce Enhanced Ecommerce Analytics Integration with Conversion Tracking (Active installations: 1,000+) – Cross-site request forgery (CSRF) and Stored Cross-site scripting (XSS)
- WooCommerce Product Attachment (Active installations: 800+) – Authenticated stored Cross-site scripting (XSS)
- Woo Quick Reports (Active installations: 300+) – Stored Cross-Site Scripting (XSS)
据ThreatPress报道,安全研究员在10个插件中发现的漏洞类型五花八门。受影响的插件可通过WordPress.org获得,它们允许Woo商城用户管理其在线商店。据统计,易受攻击的插件有将近20,000次主动安装,其中包括10,000次页面访问计数器安装,3,000次WooCommerce类别横幅管理安装以及2,000次数字商品WooCommerce Checkout安装。
经过安全专家研究后发现,Multidots制作的插件受存储的跨站脚本(XSS)、跨站点请求伪造(CSRF)和SQL注入漏洞的影响,这些漏洞可以被用于全方位控制已安装插件的电子商务网站。攻击者可能会破坏网站,执行远程shell,植入键盘记录器,并上传加密货币挖掘程序或其他类型的恶意软件。
考虑到受影响的网站是收集个人和财务信息的在线商店,攻击者或许能够获得富含价值的信息。这些漏洞允许未经身份验证的攻击者注入恶意JavaScript,从而为劫持客户的信用卡数据并接收客户和管理员登录提供机会。虽然大多数危险情境的实现需要安装插件者访问特质的URL或者页面,但仍有一些漏洞带来的缺陷能在没有任何交互的情况下被利用。
Multidots 5月8日知晓后对存在的问题进行了确认,而后却再无动作。所幸WordPress了解后决定禁用大部分受影响的插件。在ThreatPress公开发布调查结果之前,他们曾与Multidots联系征求意见,但该公司没有回应。
CVE标识符已分配给其中四个漏洞,仍有6个漏洞还没有得到标识符。目前为止,分配的标识符有CVE-2018-11579,CVE-2018-11580,CVE-2018-11633和CVE-2018-11632。
当前每个漏洞的技术细节和概念验证(PoC)代码已被披露。专家表示:“很高兴WordPress的安全反应速度这么快,但我们仍然有一个大问题——难以告知所有用户这些插件的威胁。奇怪的是WordPress能显示可用更新的信息,却不能通过同样的方式提供关于封闭插件的信息以提供保护。我们希望看到这一领域的一些变化。希望在这种情况下,我们可以通知受影响网站的所有者,并保护近2万个网站。”