هشدار در مورد آسیب پذیری کشف شده در پنج افزونه وردپرس و ووکامرس
پایگاه داده آسیبپذیری ملی دولت ایالات متحده (NVD) هشدارهایی را درباره آسیبپذیریها در پنج افزونه وردپرس و ووکامرس و به طور کلی وب سایت های فروشگاهی منتشر کرد که بر بیش از 135000 سایت تأثیر گذاشته است.
شدت بسیاری از این آسیبپذیریها تا حد بحرانی است و دارای امتیاز 9.8 در مقیاس 1 تا 10 است.
به هر آسیبپذیری یک شماره هویت CVE (آسیبپذیریها و مواجهههای مشترک) اختصاص داده میشود که به آسیبپذیریهای کشفشده نیز داده شد است.
1. Advanced Order Export For WooCommerce
افزونه Advanced Order Export for WooCommerce که در بیش از 100000 وب سایت نصب شده است، در برابر حمله جعل درخواست بین سایتی (CSRF) آسیب پذیر است.
آسیبپذیری جعل درخواست متقابل (CSRF) از نقص یک افزونه وبسایت ناشی میشود که به مهاجم اجازه میدهد کاربر وبسایت را برای انجام یک عمل ناخواسته فریب دهد.
مرورگرهای وبسایت معمولاً حاوی کوکیهایی هستند که به وبسایت میگویند که کاربر ثبتنام کرده و یا وارد شده است. مهاجم میتواند سطوح امتیاز یک مدیر را جعل کند که به مهاجم دسترسی کامل به یک وب سایت، افشای اطلاعات حساس مشتری و غیره را می دهد.
این آسیب پذیری خاص می تواند منجر به دانلود فایل برون ریزی شود. توضیحات آسیب پذیری توضیح نمی دهد که چه فایلی می تواند توسط مهاجم دانلود شود.
با توجه به اینکه هدف این افزونه خروجی گرفتن از داده های سفارش های ثبت شده در ووکامرس است، ممکن است منطقی باشد که فرض کنیم داده های سفارش ها همان فایلی است که مهاجم می تواند به آن دسترسی داشته باشد.
2. Advanced Dynamic Pricing for WooCommerce
دومین افزونه تحت تأثیر، افزونه Advanced Dynamic Pricing برای ووکامرس است که در بیش از 20000 وب سایت نصب شده است.
این افزونه دارای دو آسیبپذیری Cross-Site Request Forgery (CSRF) است که همه نسخههای افزونه کمتر از 4.1.6 را تحت تأثیر قرار میدهد.
هدف این افزونه ایجاد قوانین تخفیف و قیمت گذاری است.
اولین آسیبپذیری (CVE-2022-43488) میتواند منجر به «rule type migration» شود که تا حدودی مبهم است. شاید بتوان این فرض را مطرح کرد که آسیب پذیری ممکن است با توانایی تغییر قوانین قیمت گذاری مرتبط باشد.
3. Advanced Coupons for WooCommerce Coupons plugin
سومین افزونه تحت تأثیر، Advanced Coupons for WooCommerce Coupons، بیش از 10000 نصب دارد.
مشکل کشف شده در این افزونه نیز یک آسیب پذیری CSRF است و تمامی نسخه های کمتر از 4.5.01 را تحت تاثیر قرار می دهد.
4. WooCommerce Dropshipping by OPMC – Critical
چهارمین افزونه تحت تأثیر افزونه WooCommerce Dropshipping by OPMC است که بیش از 3000 نصب دارد.
نسخههای این افزونه کمتر از نسخه 4.4 حاوی یک آسیبپذیری Unauthenticated SQL injection با رتبه 9.8 (در مقیاس 1-10) و برچسب بحرانی است.
به طور کلی، یک آسیبپذیری SQL injection به مهاجم اجازه میدهد تا پایگاه داده وردپرس را دستکاری کند و مجوزهای سطح مدیریت را در اختیار بگیرد، تغییراتی در پایگاه داده ایجاد کند، پایگاه داده را پاک کند یا حتی دادههای حساس را دانلود کند.
5. Role Based Pricing for WooCommerce
افزونه Role Based Pricing for WooCommerce دارای دو آسیبپذیری Cross-Site Request Forgery (CSRF) است. این افزونه دارای 2000 نصب است.
همانطور که در مورد پلاگین دیگری ذکر شد، آسیبپذیری CSRF به طور کلی شامل فریب یک مهاجم با یک مدیر یا کاربر دیگر برای کلیک کردن بر روی پیوند یا انجام برخی اقدامات دیگر است. این می تواند منجر به کسب سطوح مجوز وب سایت کاربر توسط مهاجم شود.
این آسیب پذیری دارای امتیاز 8.8 High است.
پیشنهاد میشه تا در صورتی که از این ۵ افزونه بر روی وب سایت خود استفاده میکنید حتما نصبت به آپدیت آنها اقدام کنید.
ارسال نظر
آدرس ایمیل شما منتشر نخواهد شد.اطلاعات مورد نیاز مشخص شده اند *