WordPress plug-in til e-handel bringer over 5.000 websteder i fare

TheCartPress, et plug-in til e-handel, der bruges på tusinder af WordPress-baserede websteder, har flere sårbarheder med høj risiko.

Der er i øjeblikket ingen rettelser tilgængelige for manglerne, og ifølge dens udvikler vil support til plug-in'en blive afbrudt den 1. juni.

Sårbarhederne kunne give angribere mulighed for at "udføre vilkårlig PHP-kode, afsløre følsomme data og udføre Cross-Site Scripting [XSS] -angreb mod brugere af WordPress-installationer med det sårbare plug-in," siger forskere fra sikkerhedsfirmaet High-Tech Bridge i en rådgivende onsdag.

Der er faktorer, der begrænser udnyttelsen af ​​nogle af manglerne, men de udgør stadig en betydelig risiko.

For eksempel at udnytte sårbarheden, der tillader udførelse af PHP-kode, kræver, at angriberen har administrative rettigheder på WordPress-webstedet. Imidlertid kunne en angriber også narre den rigtige administrator til at køre udnyttelsen ved at besøge en ondsindet side, ifølge High-Tech Bridge-forskerne. Dette er kendt som et CSRF-angreb på tværs af anmodninger.

En anden sårbarhed giver ikke-godkendte angribere mulighed for at gennemse ordrer, der er placeret af brugere af det e-handelswebsted, der bruger plug-in.

Der er også flere XSS-problemer, både i det administrative panel og på sider, der er brugervenlige. Disse mangler kunne give angribere mulighed for at narre webstedets brugere til at udføre useriøse handlinger, når de klikker på specifikt udformede webadresser. XSS-angreb, hvor offeret er stedets administrator, har åbenlyst den højeste risiko.

High-Tech Bridge-forskerne hævder, at de forsøgte at underrette plug-in-udvikleren om manglerne siden 8. april uden succes. De påpeger, at udvikleren allerede har meddelt, at “support til TheCartPress slutter den 1. juni 2015.”

Da det ikke er klart, om fejlene nogensinde vil blive rettet, anbefaler forskerne at deaktivere eller fjerne plug-in. I henhold til statistikker fra det officielle WordPress-plug-in-lager har TheCartPress i øjeblikket over 5.000 aktive installationer.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.