image

Aanvaller kan via "verlaten winkelwagentje" bij duizenden webshops inloggen

dinsdag 20 juni 2023, 12:32 door Redactie, 5 reacties

Een kwetsbaarheid in een plug-in waarmee webshops "verlaten winkelwagentjes" beheren maakt het mogelijk voor aanvallers om bij duizenden webwinkels als klant in te loggen. Het beveiligingslek bevindt zich in Abandoned Cart Lite, een plug-in voor WooCommerce, zo laat securitybedrijf Wordfence weten. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder Abandoned Cart Lite. Deze plug-in draait op meer dan 30.000 webwinkels.

Wanneer bezoekers van een webshop producten in hun winkelwagentje hebben maar de winkel voor het afrekenen verlaten, is het via Abandoned Cart Lite mogelijk om deze klanten een link naar hun winkelwagentje te sturen, in de hoop dat de klant alsnog de koop afrondt. De plug-in genereert een versleutelde link die naar de gebruiker wordt gestuurd. De hiervoor gebruikte encryptiesleutel is echter hardcoded in de plug-in, waardoor ook aanvallers er toegang toe hebben.

Met de encryptiesleutel is het vervolgens mogelijk om het winkelwagen-ID van andere gebruikers op te geven en zo een link te genereren waarmee op het account van deze gebruikers kan worden ingelogd. Het winkelwagen-ID begint bij één en is opeenvolgend, wat het eenvoudig voor aanvallers maakt de aanval uit te voeren. In theorie zou er ook toegang tot het beheerdersaccount kunnen worden verkregen, bijvoorbeeld als de beheerder heeft getest of de plug-in wel naar behoren werkt.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaar van de plug-in heeft het probleem verholpen in versie 5.15.1, die op 6 juni uitkwam. Toch blijkt uit cijfers van WordPress dat nog duizenden webshops de update niet hebben geïnstalleerd.

Reacties (5)
20-06-2023, 12:45 door Anoniem
Hoe dom kan je zijn als je dit niet van te voren ziet aankomen als je zo'n plugin maakt.
20-06-2023, 13:22 door Anoniem
De digitale samenleving

Leuker kunnen we het niet maken,wel makkelijker
21-06-2023, 08:26 door Anoniem
Die WooCommerce is wat mij betreft ook iets te vaak in het nieuws. Ik heb nu niet het idee dat het kwaliteit spul is.
21-06-2023, 17:41 door Anoniem
Ik durf er geld op zetten dat er een hele hoop webshops zijn die ooit iemand die zooi in elkaar heeft laten zetten en er nu niet meer naar kijkt of support voor krijgt.
22-06-2023, 10:16 door Anoniem
Door Anoniem: Die WooCommerce is wat mij betreft ook iets te vaak in het nieuws. Ik heb nu niet het idee dat het kwaliteit spul is.
Er is met een goed ingerichte WC installatie niks mis. Het zijn vaak de talloze plugins die er een gatenkaas van maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.