A empresa de segurança de aplicações web, Defiant, alertou sobre vulnerabilidades graves de bypass de autenticação em dois plugins do WordPress com dezenas de milhares de instalações.
O primeiro defeito de segurança, rastreado como CVE-2023-2986 (pontuação CVSS de 9.8/10), afeta o plugin Abandoned Cart Lite for WooCommerce, que notifica os clientes que não concluíram o processo de compra e possui mais de 30.000 instalações ativas.
Na notificação enviada, o usuário recebe um link que o autentica automaticamente para continuar sua compra e que contém um valor criptografado que identifica o carrinho de compras.
Devido à chave de criptografia usada para criar o valor criptografado estar codificada no próprio plugin e a identificação de cada carrinho ser um número sequencial crescente, um atacante pode usar a chave de criptografia para criar identificadores de carrinhos de outros usuários.
Um ataque bem-sucedido pode ser realizado apenas contra carrinhos de compras abandonados e provavelmente permitirá que o atacante faça login como usuário de nível do cliente. No entanto, o atacante também pode ter acesso a contas de nível de administrador que estejam testando a funcionalidade do carrinho abandonado, potencialmente levando à comprometimento total do site, de acordo com um aviso da Defiant.
Esse problema foi corrigido na versão 5.15.1 do Abandoned Cart Lite for WooCommerce, lançada em 13 de junho. Com base em estatísticas do WordPress, dezenas de milhares de sites ainda não aplicaram a correção.
Na terça-feira, a Defiant também emitiu um alerta sobre outra vulnerabilidade de gravidade crítica – CVE-2023-2834 (pontuação CVSS de 9.8/10) – no plugin BookIt, com mais de 10.000 instalações ativas no WordPress.
O plugin oferece um código curto para incorporar um calendário de marcação de consultas em páginas de sites do WordPress, permitindo que os usuários agendem compromissos fornecendo seu nome, endereço de e-mail e senha.
Devido à falta de verificação suficiente das informações fornecidas pelo usuário ao agendar compromissos usando o plugin, um atacante não autenticado pode fazer login como qualquer usuário existente, caso conheça o endereço de e-mail do usuário.
Especificamente, o plugin verifica a identificação do usuário com base no endereço de e-mail fornecido e, se esse e-mail pertencer a uma conta de usuário existente, ele associa a solicitação a essa conta e configura os cookies de autenticação para ela, sem realizar a verificação da senha. “A vulnerabilidade permite que um atacante tenha acesso a qualquer conta no site, incluindo a conta do administrador, se o atacante conhecer o endereço de e-mail,” acrescentou a Defiant.
Essa falha foi corrigida na versão 2.3.8 do BookIt, em 13 de junho. As estatísticas do WordPress mostram que milhares de sites ainda estão executando uma versão vulnerável do plugin.
