Falha crítica encontrada no plugin do WordPress para WooCommerce usado por 30.000 sites
22 de Junho de 2023

Uma falha crítica de segurança foi divulgada no plugin "Abandoned Cart Lite for WooCommerce" do WordPress, instalado em mais de 30.000 sites.

"Essa vulnerabilidade torna possível para um atacante acessar as contas de usuários que abandonaram seus carrinhos, que normalmente são clientes, mas podem se estender a outros usuários de alto nível quando as condições certas são atendidas", disse a Wordfence da Defiant em um aviso.

Rastreada como CVE-2023-2986 , a falha foi classificada com 9,8 de 10 em gravidade no sistema de pontuação CVSS.

Ela afeta todas as versões do plugin, incluindo e anteriores às versões 5.14.2.

O problema, em sua essência, é um caso de bypass de autenticação que surge como resultado de proteções de criptografia insuficientes que são aplicadas quando os clientes são notificados quando abandonam seus carrinhos de compras em sites de e-commerce sem concluir a compra.

Especificamente, a chave de criptografia é codificada no plugin, permitindo que atores mal-intencionados façam login como um usuário com um carrinho abandonado.

Após a divulgação responsável em 30 de maio de 2023, a vulnerabilidade foi resolvida pelo desenvolvedor do plugin, Tyche Softwares, em 6 de junho de 2023, com a versão 5.15.0.

A versão atual do Abandoned Cart Lite for WooCommerce é 5.15.2.

A divulgação ocorre quando a Wordfence revelou outra falha de bypass de autenticação que afeta o plugin "Booking Calendar | Appointment Booking | BookIt" do StylemixThemes ( CVE-2023-2834 , pontuação CVSS: 9,8) que tem mais de 10.000 instalações do WordPress.

"Isso ocorre devido à verificação insuficiente do usuário fornecido durante a reserva de um compromisso através do plugin", explicou Márton.

"Isso torna possível para atacantes não autenticados fazerem login como qualquer usuário existente no site, como um administrador, se tiverem acesso ao e-mail."

A falha, que afeta as versões 2.3.7 e anteriores, foi corrigida na versão 2.3.8, que foi lançada em 13 de junho de 2023.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...