30.000’den fazla web sitesinde yüklü olan WordPress “Abandoned Cart Lite for WooCommerce” eklentisinde kritik bir güvenlik açığı açıklandı.
Defiant’tan Wordfence bir danışma belgesinde, “Bu güvenlik açığı, bir saldırganın alışveriş sepetlerini terk eden, genellikle müşteri olan ancak doğru koşullar sağlandığında diğer üst düzey kullanıcıları da içine alabilen kullanıcıların hesaplarına erişmesini mümkün kılıyor.” .
CVE-2023-2986 olarak izlenen eksiklik, CVSS puanlama sisteminde ciddiyet açısından 10 üzerinden 9,8 olarak derecelendirildi. 5.14.2 sürümleri dahil olmak üzere eklentinin tüm sürümlerini etkiler.
Sorunun özünde, müşterilerin e-ticaret sitelerinde alışveriş sepetlerini satın alma işlemini tamamlamadan terk ettikleri konusunda bilgilendirildiklerinde uygulanan yetersiz şifreleme korumalarının bir sonucu olarak ortaya çıkan bir kimlik doğrulama atlama durumudur.
Spesifik olarak, şifreleme anahtarı eklentide sabit olarak kodlanmıştır, böylece kötü niyetli aktörlerin terk edilmiş bir alışveriş sepetine sahip bir kullanıcı olarak oturum açmasına olanak tanır.
Güvenlik araştırmacısı István Márton, “Ancak, bir saldırganın kimlik doğrulama güvenlik açığından yararlanarak bir yönetici kullanıcı hesabına veya terk edilmiş alışveriş sepeti işlevini test ediyorsa başka bir üst düzey kullanıcı hesabına erişim elde etme olasılığı vardır.” dedi.
30 Mayıs 2023’teki sorumlu açıklamanın ardından güvenlik açığı, eklenti geliştiricisi Tyche Softwares tarafından 6 Haziran 2023’te 5.15.0 sürümüyle giderildi. Abandoned Cart Lite for WooCommerce’in güncel sürümü 5.15.2’dir.
Açıklama, Wordfence’in StylemixThemes’in 10.000’den fazla WordPress kurulumuna sahip “Rezervasyon Takvimi | Randevu Rezervasyonu | BookIt” eklentisini (CVE-2023-2834, CVSS puanı: 9.8) etkileyen başka bir kimlik doğrulama bypass kusurunu ortaya çıkarmasıyla geldi.
Márton, “Bunun nedeni, eklenti aracılığıyla bir randevu alınırken kullanıcıya sağlanan yetersiz doğrulamadır.” “Bu, kimliği doğrulanmamış saldırganların, e-postaya erişimleri varsa, yönetici gibi sitede mevcut herhangi bir kullanıcı olarak oturum açmasını mümkün kılar.”
2.3.7 ve önceki sürümleri etkileyen kusur, 13 Haziran 2023’te yayınlanan 2.3.8 sürümünde giderildi.