Scoperte vulnerabilità nei plugin WooCommerce e Dokan Pro

Le vulnerabilità in WooCommerce e nei plugin Dokan Pro WooCommerce ha pubblicato un avviso su una vulnerabilità XSS mentre contemporaneamente Wordfence ha avvisato su una vulnerabilità critica in un plugin di WooCommerce chiamato Dokan Pro. L’avviso su Dokan Pro ha avvertito che una vulnerabilità di SQL Injection consente agli attaccanti non autenticati di estrarre informazioni […]

Scoperte vulnerabilità nei plugin WooCommerce e Dokan Pro

Le vulnerabilità in WooCommerce e nei plugin Dokan Pro

WooCommerce ha pubblicato un avviso su una vulnerabilità XSS mentre contemporaneamente Wordfence ha avvisato su una vulnerabilità critica in un plugin di WooCommerce chiamato Dokan Pro. L’avviso su Dokan Pro ha avvertito che una vulnerabilità di SQL Injection consente agli attaccanti non autenticati di estrarre informazioni sensibili dal database di un sito web.

Plugin Dokan Pro WordPress

Il plugin Dokan Pro permette agli utenti di trasformare il proprio sito WooCommerce in un marketplace multi-venditore simile a siti come Amazon ed Etsy. Attualmente ha oltre 50.000 installazioni. Le versioni del plugin fino alla versione 3.10.3 sono vulnerabili.

Secondo Wordfence, la versione 3.11.0 rappresenta la versione completamente aggiornata e sicura.

WordPress.org elenca il numero attuale di installazioni del plugin versione lite oltre 50.000 e un totale di installazioni di oltre 3 milioni. Al momento, solo il 30,6% delle installazioni utilizzava l’ultima versione, la 3.11, il che potrebbe significare che il 69,4% di tutti i plugin Dokan Pro sono vulnerabili.

Il changelog non mostra il parcheggio delle vulnerabilità

Il changelog è ciò che informa gli utenti di un plugin su cosa contiene un aggiornamento. La maggior parte degli sviluppatori di plugin e temi pubblicherà un chiaro avviso che un aggiornamento contiene un patch di vulnerabilità. Secondo Wordfence, la vulnerabilità interessa le versioni fino alla versione 3.10.3. Tuttavia, la nota del changelog per la versione 3.10.4 rilasciata il 25 aprile 2024 (che dovrebbe essere patchata) non mostra che c’è un patch. È possibile che il publisher di Dokan Pro e Dokan Lite non volesse avvisare gli hacker sulla vulnerabilità critica.

Punteggio CVSS 10

Il Common Vulnerability Scoring System (CVSS) è uno standard aperto per assegnare un punteggio che rappresenti la gravità di una vulnerabilità. Il punteggio di gravità si basa su quanto è sfruttabile, l’impatto di essa, oltre a metriche supplementari come la sicurezza e l’urgenza che insieme aggiungono un punteggio totale da meno grave (1) al livello di gravità più alto (10).

Il plugin Dokan Pro ha ricevuto un punteggio CVSS di 10, il massimo livello di gravità, il che significa che a tutti gli utenti del plugin viene raccomandato di agire immediatamente.

Descrizione della vulnerabilità

Dokan Pro è stato trovato a contenere una vulnerabilità di SQL Injection non autenticata. Esistono vulnerabilità autenticate e non autenticate. Non autenticate significa che un attaccante non ha bisogno di acquisire le credenziali dell’utente per lanciare un attacco. Tra i due tipi di vulnerabilità, quella non autenticata è il peggior scenario.

Una vulnerabilità di SQL Injection di WordPress è una vulnerabilità in cui un plugin o tema consente a un attaccante di manipolare il database. Il database è il cuore di ogni sito web WordPress, dove sono presenti tutte le password, i nomi di accesso, i post, i temi e i dati dei plugin. Una vulnerabilità che consente a chiunque di manipolare il database è considerata molto grave, questo è davvero brutto.

Così Wordfence la descrive:

“Il plugin Dokan Pro per WordPress è vulnerabile a SQL Injection tramite il parametro ‘codice’ in tutte le versioni fino a, e comprese, 3.10.3 a causa di un’insufficiente esacpazione del parametro fornito dall’utente e della mancanza di preparazione sufficiente sulla query SQL esistente. Ciò rende possibile per gli attaccanti non autenticati aggiungere query SQL aggiuntive nelle query già esistenti che possono essere utilizzate per estrarre informazioni sensibili dal database.”

Azione consigliata per gli utenti di Dokan Pro

Gli utenti del plugin Dokan Pro sono invitati a considerare l’aggiornamento dei propri siti il più presto possibile. È sempre prudente testare gli aggiornamenti prima di caricarli in live su un sito web. Ma a causa della gravità di questa vulnerabilità, gli utenti dovrebbero considerare di accelerare questo aggiornamento.

WooCommerce ha pubblicato un avviso su una vulnerabilità che interessa le versioni 8.8.0 e superiori. La vulnerabilità è valutata 5.4, che è un livello di minaccia medio, e colpisce solo gli utenti che hanno attivato la funzione dell’attributo ordine. Tuttavia, WooCommerce “fortemente” raccomanda agli utenti di aggiornare il prima possibile alla versione più recente (al momento della stesura), WooCommerce 8.9.3.

Vulnerabilità Cross Site Scripting (XSS) di WooCommerce

Il tipo di vulnerabilità che colpisce WooCommerce si chiama Cross Site Scripting (XSS), che è un tipo di vulnerabilità che dipende da un utente (come un amministratore di un negozio WooCommerce) per fare clic su un link.

Secondo WooCommerce:

“Questa vulnerabilità potrebbe consentire lo scripting tra siti, un tipo di attacco in cui un attore malintenzionato manipola un link per includere contenuti dannosi (tramite codice come JavaScript) su una pagina. Questo potrebbe colpire chiunque faccia clic sul link, inclusi un cliente, il commerciante o un amministratore di un negozio.
… Non siamo a conoscenza di alcun exploit di questa vulnerabilità. Il problema è stato originariamente individuato tramite il programma proattivo di ricerca sulla sicurezza di Automattic con HackerOne. I nostri team di supporto non hanno ricevuto segnalazioni che siano stati sfruttati e le analisi del nostro team di ingegneria non hanno rivelato che siano stati sfruttati.”

I provider di hosting web dovrebbero essere più proattivi?

Il web developer ed esperto di marketing Adam J. Humphreys, di Making 8, inc. (profilo LinkedIn), ritiene che i provider di hosting web dovrebbero essere più proattivi nel patching delle vulnerabilità critiche, anche se ciò potrebbe far perdere alcune funzionalità ai siti se c’è un conflitto con qualche altro plugin o tema in uso.

Adam ha osservato:

“Il vero problema è il fatto che WordPress rimane senza aggiornamenti automatici e con una vulnerabilità costante che è l’illusione che i loro siti siano sicuri. La maggior parte degli aggiornamenti di base non viene eseguita dagli host e quasi tutti gli host non eseguono gli aggiornamenti dei plugin anche se li fanno finché non viene eseguito un aggiornamento di base. Poi c’è il fatto che la maggior parte degli aggiornamenti di plugin premium spesso non vengono eseguiti automaticamente. Molti dei quali contengono patch di sicurezza critiche.”

Ho chiesto se intendesse un aggiornamento push, dove un aggiornamento è forzato su un sito web.

“Esatto, molti host non eseguono aggiornamenti fino a quando non viene eseguito un aggiornamento del core di WordPress. Gli ingegneri di Softaculous me lo hanno confermato. WPEngine che afferma aggiornamenti completamente gestiti non li esegue con la frequenza per correggere prontamente tali plugin. WordPress senza una gestione in corso è una vulnerabilità eppure la metà di tutti i siti web sono realizzati con esso. Questo è un’errore di valutazione da parte di WordPress che dovrebbe essere affrontato, a mio parere.”

Leggi di più su Wordfence:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/dokan-pro/dokan-pro-3103-unauthenticated-sql-injection

Leggi la documentazione ufficiale sulle vulnerabilità di WooCommerce:

WooCommerce Updated to Address Cross-site Scripting Vulnerability

Immagine in primo piano di Shutterstock/New Africa.