10 ноября 2020
362

Сайты на WordPress уязвимы для кибератак из-за уязвимости Welcart

Приложение «управления корзиной» содержит ошибку типа PHP object-injection, что позволяет злоумышленникам внедрять вредоносный код.

Уязвимость безопасности в плагине электронной коммерции Welcart открывает веб-сайты для внедрения кода. Это может привести к установке платежных скиммеров, сбою сайта или поиску информации с помощью SQL-инъекции, говорят исследователи.

Welcart e-Commerce – это бесплатный плагин для WordPress, который используют более 20 000 сайтов (по данным WordPress). Он позволяет владельцам сайтов внедрить онлайн платежи за товары «под ключ». При этом продавать можно не только физические товары, но и цифровыt сервисы, а также подписок. Клиенты же в свою очередь получают 16 различных вариантов оплаты.

Критическая ошибка (идентификатор CVE ещё не присвоен) – это уязвимость PHP-инъекции кода, которая существует в том формате как платформа обрабатывает cookie-файлы.

Он использует свои собственные файлы cookie, отдельно от тех, которые используются WordPress, чтобы отслеживать сеансы пользователей.

Каждый запрос на сайт приводит к тому, что usces_cookie анализируется функцией get_cookie. Эта функция используется usces_unserialize, чтобы расшифровать содержание этого куки файла.

исследователи из Wordfence

PHP object injection – это уязвимость приложения, которая прокладывает путь для внедрения кода или SQL-инъекциям.

Инъекции в PHP часто часто используются в более крупной цепочке эксплойтов, которая позволяет злоумышленнику удаленно воспроизводить код и полностью захватить контроль над сайтом. Однако, в данном случае это не так.

Издатель плагина (Collne Inc.) исправил эту проблему в версии 1.9.36 Welcart, релиз которой состоялся в октябре. Администраторы сайтов на базе WP рекомендуется обновиться как можно скорее.

Читайте также
Владельцы Apple остались без электронных подписей
11 марта 2024
Белорусский школьник оказался главным звеном киберпреступной группировки
14 марта 2024
Российские компании массово продаются в даркнете
25 марта 2024