کشف چندین آسیب‌پذیری در افزونه‌های مربوط به woocommerce در وردپرس

پژوهشگران امنیتی ThreatPress آسیب‌پذیری‌هایی را در ده افزونه مختلف وردپرس کشف کرده‌اند که توسط یک شرکت برای وب‌سایت‌های فروشگاهی تحت پلتفرم woocommerce ساخته شده‌اند. این شرکت که Multidots نام دارد، افزونه‌هایی را ارائه کرده است که از سایت رسمی وردپرس (wordpress.org) قابل دریافت هستند. این افزونه‌ها قابلیت‌های مختلفی را برای کاربران وب‌سایت‌های فروشگاهی فراهم می‌کنند.
افزونه‌ها حدود ۲۰۰۰۰ نصب فعال دارند که شامل ۱۰۰۰۰ نصب برای افزونه Page Visit Counter، ۳۰۰۰ نصب برای افزونه WooCommerce Category Banner Management و ۲۰۰۰ نصب برای افزونه WooCommerce Checkout for Digital Goods می‌باشند.
این پلاگین‌ها در قبال تزریق اسکریپت از طریق وب‌گاه (XSS)، جعل درخواست میان وب‌گاهی (CSRF) و تزریق SQL آسیب‌پذیر هستند. مهاجمین می‌توانند از این آسیب‌پذیری‌ها استفاده کنند تا حملات deface، اجرای Shell از راه دور، قرار دادن keylogger و نصب کاوشگر ارز دیجیتالی را انجام دهند. همچنین مهاجمین می‌توانند به اطلاعات وب‌سایت شامل اطلاعات فردی و مالی کاربران دسترسی پیدا کنند.
آسیب‌پذیری به مهاجم احرازهویت نشده اجازه می‌دهد تا کد جاوااسکریپت مخرب را تزریق کند و اطلاعات کارت‌های اعتباری کاربران سایت و اطلاعات ورود مدیران سایت را برباید.
بدلیل عدم پاسخگویی شرکت سازنده این افزونه‌ها، وردپرس تصمیم به غیرفعال‌سازی افزونه‌های تحت تاثیر گرفته است.
۴ شناسه CVE به این آسیب‌پذیری‌ها تخصیص یافته است که شامل موارد CVE-۲۰۱۸-۱۱۵۷۹، CVE-۲۰۱۸-۱۱۵۸۰، CVE-۲۰۱۸-۱۱۶۳۳ و CVE-۲۰۱۸-۱۱۶۳۲ هستند. ThreatPress می‌گوید که انتظار می‌رود شناسه‌های بیشتری نیز تخصیص یابند.
جزئیات فنی و کد اثبات مفهومی (PoC) این آسیب‌پذیری‌ها نیز از طرف ThreatPress منتشر شده‌اند.