Se ha publicado una falla de seguridad que afecta 3 plugins de WordPress diferentes, afectando mas de 84,000 páginas web, el cual puede ser utlilizado por un actor malicioso para tomar completo control sobre el sitio.
Conocido como CVE-2022-0215, el ataque de CSRF (Cross-Site Request Forgery) categorizado con puntuación de 8.8 en la escala de CVSS afecta los 3 plugins de Xootix.
Cross-site request forgery, también conocido como ataque de un click o session riding, ocurre cuando un usuario autenticado es engañado por un atacante para introducir un request especialmente creado hacia la página web. Si esta cuenta es de administrador, el control del sitio cae en manos del atacante.
Ésta vulnerabilildad se origina en la falta de validación al procesar los requests AJAX, permitiendo a un atacante habilitar la opción «users_can_register» (indica qué usuario puede registrarse) en un sitio y poner «default_role» (indica los privilegios que se le atribuyen a una nueva cuenta de usuario) a administrador, obteniendo control sobre todo el sitio.
Login/Signup Popup está instalado en mas de 20,000 sitios, mientras Side Cart Woocommerce y Waitlist Woocommerce están instalados en más de 4,000 y 60,000 sitios respectivamente.
Estas vulnerabilidades fueron anunciadas en noviembre y Wordfence compartió los parches, estos se encuentran para los siguientes productos afectados:
- Login/Signup Popup menores a 2.3.
- Waitlist Woocommerce menores a 2.5.2.
- Side Cart Woocommerce menores a 2.1
Wordfence recomienda actualizar los plugins a sus últimas versiones disponibles para solventar estos problemas de seguridad.
Más información:
- https://thehackernews.com/2022/01/high-severity-vulnerability-in-3.html
- https://wordpress.org/plugins/waitlist-woocommerce/
- https://wordpress.org/plugins/side-cart-woocommerce/
- https://wordpress.org/plugins/easy-login-woocommerce/
- https://patchstack.com/database/vulnerability/side-cart-woocommerce/wordpress-side-cart-woocommerce-ajax-plugin-2-0-cross-site-request-forgery-csrf-vulnerability-leading-to-arbitrary-options-update