Honderdduizend webshops kwetsbaar door kritiek lek in 'wishlist' plug-in
Meer dan honderdduizend websites lopen door een kritieke kwetsbaarheid in een gebruikte plug-in het risico om te worden aangevallen en een beveiligingsupdate is niet beschikbaar. Volgens securitybedrijf Patchstack gaat het om een zeer gevaarlijke kwetsbaarheid en zal het naar verwachting op grote schaal door criminelen worden misbruikt.
Het beveiligingslek is aanwezig in TI WooCommerce Wishlist waarmee webshops klanten de optie kunnen bieden om producten op een wishlist te plaatsen, zodat die op een later moment zijn aan te schaffen. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan zeven miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder de Wishlist-plug-in.
Volgens cijfers van WordPress.org maken meer dan honderdduizend websites gebruik van de plug-in. Die blijkt gebruikersinvoer niet goed te escapen, waardoor voor ongeauthenticeerde aanvallers SQL-Injection mogelijk is. Een aanvaller kan zo bijvoorbeeld de inhoud van de database stelen of andere aanvallen uitvoeren.
Patchstack heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Securitybedrijf Wordfence hanteert een impactscore van 9.8. De ontwikkelaar van de plug-in heeft geen update beschikbaar gesteld, waardoor alle websites die van de plug-in gebruikmaken risico lopen.
Zit er een verdienmodel aan voor patchstack om diensten te verkopen voordat de ontwikkelaars een bugfix hebben kunnen produceren? Gevonden 18 juli en nu al publiek gemaakt terwijl hun betaald product per 22 augustus een bescherming bied. Ruikt imho, normaal worden 3 maanden reactietijd aangehouden wanneer niet publiekelijk bekend en geëxploiteerd wordt.
Zit er een verdienmodel aan voor patchstack om diensten te verkopen voordat de ontwikkelaars een bugfix hebben kunnen produceren? Gevonden 18 juli en nu al publiek gemaakt terwijl hun betaald product per 22 augustus een bescherming bied. Ruikt imho, normaal worden 3 maanden reactietijd aangehouden wanneer niet publiekelijk bekend en geëxploiteerd wordt.
Ja, helemaal mee eens. Disclosure als er een patch is (en dan even bedenken dat niet de hele planeet tegelijk dat zal zien, dus houd nog even 1 of 2 dagen aan of zo), dat is ok. Misschien is er een concurrent die dit ook wou releasen?
https://wordpress.org/plugins/ti-woocommerce-wishlist/
¹ root-cause
¹ root-cause
Helaas kunnen makers van plug-ins voor Joomla, Wordpress, Drupal de gegevens van de database zo uit de config halen, waardoor ze zelf kunnen klooien en niet geboden zijn aan een API die bij het CMS hoort. Standaard zou je verwachten dat Wordpress in dit geval al de injection checked , maar tja.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?