Een kwetsbaarheid in een plug-in waarmee webshops "verlaten winkelwagentjes" beheren maakt het mogelijk voor aanvallers om bij duizenden webwinkels als klant in te loggen. Het beveiligingslek bevindt zich in Abandoned Cart Lite, een plug-in voor WooCommerce, zo laat securitybedrijf Wordfence weten. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder Abandoned Cart Lite. Deze plug-in draait op meer dan 30.000 webwinkels.

Wanneer bezoekers van een webshop producten in hun winkelwagentje hebben maar de winkel voor het afrekenen verlaten, is het via Abandoned Cart Lite mogelijk om deze klanten een link naar hun winkelwagentje te sturen, in de hoop dat de klant alsnog de koop afrondt. De plug-in genereert een versleutelde link die naar de gebruiker wordt gestuurd. De hiervoor gebruikte encryptiesleutel is echter hardcoded in de plug-in, waardoor ook aanvallers er toegang toe hebben.

Met de encryptiesleutel is het vervolgens mogelijk om het winkelwagen-ID van andere gebruikers op te geven en zo een link te genereren waarmee op het account van deze gebruikers kan worden ingelogd. Het winkelwagen-ID begint bij één en is opeenvolgend, wat het eenvoudig voor aanvallers maakt de aanval uit te voeren. In theorie zou er ook toegang tot het beheerdersaccount kunnen worden verkregen, bijvoorbeeld als de beheerder heeft getest of de plug-in wel naar behoren werkt.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaar van de plug-in heeft het probleem verholpen in versie 5.15.1, die op 6 juni uitkwam. Toch blijkt uit cijfers van WordPress dat nog duizenden webshops de update niet hebben geïnstalleerd.