La base de datos nacional de vulnerabilidades (NVD) del gobierno de EE. UU. publicó advertencias de vulnerabilidades en cinco complementos de WordPress de WooCommerce que afectan a más de 135 000 instalaciones.
Muchas de las vulnerabilidades tienen un rango de gravedad tan alto como Crítico y tienen una calificación de 9.8 en una escala del 1 al 10.
A cada vulnerabilidad se le asignó un número de identidad CVE (vulnerabilidades y exposiciones comunes) dado a las vulnerabilidades descubiertas.
1. Exportación avanzada de pedidos para WooCommerce
El complemento Exportación avanzada de pedidos para WooCommerce, instalado en más de 100 000 sitios web, es vulnerable a un ataque de falsificación de solicitud entre sitios (CSRF).
Una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) surge de una falla en el complemento de un sitio web que permite a un atacante engañar a un usuario del sitio web para que realice una acción no deseada.
Los navegadores de sitios web suelen contener cookies que le indican a un sitio web que un usuario está registrado e iniciado sesión. Un atacante puede asumir los niveles de privilegio de un administrador. Esto le da al atacante acceso completo a un sitio web, expone información confidencial del cliente, etc.
Esta vulnerabilidad específica puede provocar la descarga de un archivo de exportación. La descripción de la vulnerabilidad no describe qué archivo puede descargar un atacante.
Dado que el propósito del complemento es exportar datos de pedidos de WooCommerce, puede ser razonable suponer que los datos de pedidos son el tipo de archivo al que puede acceder un atacante.
La descripción oficial de la vulnerabilidad:
Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en el complemento de exportación avanzada de pedidos para WooCommerce <= 3.3.2 en WordPress que conduce a la descarga del archivo de exportación.
La vulnerabilidad afecta a todas las versiones del complemento Exportación avanzada de pedidos para WooCommerce que son inferiores o iguales a la versión 3.3.2.
El oficial registro de cambios para el complemento señala que la vulnerabilidad fue parcheada en la versión 3.3.3.
Lea más en la base de datos de vulnerabilidad nacional (NVD): CVE-2022-40128
2. Precios dinámicos avanzados para WooCommerce
El segundo complemento afectado es el complemento de precios dinámicos avanzados para WooCommerce que está instalado en más de 20,000 sitios web.
Se descubrió que este complemento tiene dos vulnerabilidades de falsificación de solicitudes entre sitios (CSRF) que afectan a todas las versiones del complemento anteriores a la 4.1.6.
El propósito del complemento es facilitar a los comerciantes la creación de descuentos y reglas de precios.
La primera vulnerabilidad (CVE-2022-43488) puede conducir a un “migración de tipo de regla.”
Eso es algo vago. Tal vez se pueda suponer que la vulnerabilidad puede tener algo que ver con la capacidad de cambiar las reglas de precios.
La descripción oficial proporcionada en el NVD:
Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en el complemento de precios dinámicos avanzados para WooCommerce <= 4.1.5 en WordPress que conduce a la migración del tipo de regla.
Lea más en el NVD: CVE-2022-43488
El NVD asignó a la segunda vulnerabilidad CSRF en el complemento Advanced Dynamic Pricing for WooCommerce un número CVE, CVE-2022-43491.
La descripción oficial de NVD de la vulnerabilidad es:
Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en el complemento de precios dinámicos avanzados para WooCommerce <= 4.1.5 en WordPress que conduce a la importación de la configuración del complemento.
El oficial registro de cambios del complemento notas:
“Registro de cambios – 4.1.6 – 2022-10-26
Se corrigieron algunas vulnerabilidades de control de acceso roto y CSRF «
Lea el anuncio oficial de NVD: CVE-2022-43491
3. Cupones avanzados para el complemento de cupones de WooCommerce
El tercer complemento afectado, Cupones avanzados para cupones de WooCommerce, tiene más de 10 000 instalaciones.
El problema descubierto en este complemento también es una vulnerabilidad CSRF y afecta a todas las versiones anteriores a la 4.5.01.
los registro de cambios del complemento llama al parche un ¿arreglo del fallo?
“4.5.0.1
Corrección de errores: el aviso de inicio descartar la solicitud de AJAX no tiene valor de nonce «.
La descripción oficial de NVD es:
“Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en cupones avanzados para el complemento de cupones de WooCommerce <= 4.5 en WordPress que provoca el despido del aviso”.
Lea más en el NVD: CVE-2022-43481
4. WooCommerce Dropshipping por OPMC – Crítico
El cuarto software afectado es el complemento WooCommerce Dropshipping by OPMC, que tiene más de 3000 instalaciones.
Las versiones de este complemento anteriores a la versión 4.4 contienen una vulnerabilidad de inyección SQL no autenticada con una calificación de 9.8 (en una escala de 1 a 10) y etiquetada como Crítica.
En general, una vulnerabilidad de inyección SQL permite que un atacante manipule la base de datos de WordPress y asuma permisos de nivel de administrador, realice cambios en la base de datos, borre la base de datos o incluso descargue datos confidenciales.
El NVD describe esta vulnerabilidad específica del complemento:
“El complemento WooCommerce Dropshipping WordPress anterior a 4.4 no desinfecta ni escapa correctamente un parámetro antes de usarlo en una declaración SQL a través de un punto final REST disponible para usuarios no autenticados, lo que lleva a una inyección SQL”.
Lea más en el NVD: CVE-2022-3481
Leer el oficial registro de cambios del complemento.
5. Precios basados en roles para WooCommerce
El complemento Precio basado en funciones para WooCommerce tiene dos vulnerabilidades de falsificación de solicitudes entre sitios (CSRF). Hay 2.000 instalaciones de este complemento.
Como se mencionó sobre otro complemento, una vulnerabilidad CSRF generalmente involucra a un atacante que engaña a un administrador u otro usuario para que haga clic en un enlace o realice alguna otra acción. Eso puede resultar en que el atacante obtenga los niveles de permiso del sitio web del usuario.
Esta vulnerabilidad tiene una calificación de 8,8 alta.
La descripción de NVD de la primera vulnerabilidad advierte:
“El complemento de precios basados en roles para WooCommerce WordPress anterior a 1.6.2 no tiene autorización ni verificaciones CSRF adecuadas, y no valida la carga de archivos, lo que permite que cualquier usuario autenticado, como el suscriptor, cargue archivos arbitrarios, como PHP”
La siguiente es la descripción oficial de NVD de la segunda vulnerabilidad:
“El complemento de precios basados en roles para WordPress de WooCommerce anterior a 1.6.3 no tiene autorización ni verificaciones CSRF adecuadas, y tampoco valida la ruta proporcionada a través de la entrada del usuario, lo que permite que cualquier usuario autenticado, como el suscriptor, realice ataques de deserialización PHAR cuando pueden cargar un archivo, y una cadena de gadgets adecuada está presente en el blog”
El precio oficial basado en roles para el complemento de WordPress de WooCommerce registro de cambios informa que el complemento está completamente parcheado en la versión 1.6.2:
“Registro de cambios 2022-10-01 – versión 1.6.2
* Se corrigió la vulnerabilidad de carga de archivos arbitrarios.
* Se solucionó el problema de la verificación de ajax nonce «.
Lea la documentación oficial de NVD:
Curso de acción
Se considera una buena práctica actualizar todos los complementos vulnerables. También es una buena práctica hacer una copia de seguridad del sitio antes de realizar cualquier actualización del complemento y (si es posible) preparar el sitio y probar el complemento antes de actualizar.