WordPress WooCommerce-webwinkels aangevallen via lek in kortingsplug-in

[Captain Kirk]

Webwinkels die zijn gebaseerd op WordPress WooCommerce en gebruikmaken van de kortingsplug-in "Discount Rules" worden op het moment actief aangevallen. Ruim 22.000 webshops zijn kwetsbaar en lopen risico doordat een beschikbare beveiligingsupdate nog niet is geïnstalleerd. De aanvallers maken misbruik van kwetsbaarheden waardoor een aanvaller in het ergste geval de webwinkel kan overnemen.

Discount Rules laat webwinkels allerlei soorten kortingen voor de producten en bestellingen in hun webshop instellen, alsmede op klantniveau. Meer dan dertigduizend webwinkels maken gebruik van de plug-in. Onderzoekers ontdekten dat Discount Rules verschillende kwetsbaarheden bevat, zoals SQL-injection en unauthenticated stored cross-site scripting. Via de beveiligingslekken kan een ongeauthenticeerde aanvaller gegevens van klanten opvragen, alle kortingscodes bemachtigen, voor alle klanten kortingscodes instellen of gegevens van de beheerder stelen om zo de website over te nemen.

Onderzoekers van securitybedrijf WebArx ontdekten de problemen en waarschuwden de ontwikkelaars van Discount Rules op 7 augustus. Die kwamen op 13 augustus met een beveiligingsupdate (versie 2.1.0). Een week later publiceerde WebArx de details over de kwetsbaarheid. De volgende dag meldde het securitybedrijf dat webwinkels die van de plug-in gebruikmaken actief worden aangevallen. Volgens cijfers van WordPress is versie 2.1.x door 26 procent van de webwinkels geïnstalleerd. Dat houdt in dat ruim 22.000 webwinkels nog kwetsbaar zijn en risico lopen.

 

bron: security.nl