Проаналізувавши плагін WooCommerce спеціалісти RIPS Technologies виявили нову вразливість. Всім відомо, що плагін WooCommerce дуже відоме розширення, яке було завантажене більше 4 мільйонів разів та встановлене таку ж кількість разів. І це не дивно, оскільки плагін являється безкоштовною альтернативною для створення повноцінного інтернет магазину.
За словами дослідників проблем дві. По перше, коли користувачі завантажують та встановлюють плагін, він створює власну систему автентифікації, яка використовує ролі користувачів системи CMS Wordpress.
Щоб створити певну роль, плагін спочатку створює нову роль із можливостями Wordpress. Потім плагін вводить певні обмеження при роботі із налаштуваннями CMS та іншими користувачами, використовуючи власні функції.
Якщо ви встановили плагін WooCommerce, то автоматично створюється нова роль Shop Manager. Дана роль отримує такі права як edit_users. Зрозуміло, що дана роль дає право на редагування будь-яких записів, а також право редагувати будь-які профілі користувачів, включаючи до цього списку адміністратора.
Для того, щоб вмішуватися в роль адміністратора має бути якась функція, що буде контролювати певні дії. Але плагін не досконало написаний і при його відключенні, функція, яка обмежувала певні дії щодо адміністратора перестає діяти. І тому користувачі (менеджери магазинів) можуть редагувати профілі інших користувачів, включаючи адміністраторів.
Здавалося б для вимкнення функцій та позбавлення від проблем можна було б скористатися вимкненням плагіна зі сторони адміністратора. А для більшої надійності можна просто видалити всі файли плагіна. Але, як завжди, з’являється велике але.
Є проблема при видаленні файлів у версії плагіна WooCommerce 3.4.5 і нижче. Якщо ви користувач із правами Shop Manager, то можете видалити будь-які файли, навіть критично важливі для роботи плагіна. Відповідно, якщо плагін перестає працювати, то Wordpress його вимкне. В такому випадку ситуація повториться — користувач, який має права Shop Manager зможе керувати та редагувати профілі будь-яких користувачів.
За словами програмістів, які знайшли даний баг — для хакера не складе труднощів захопити акаунт адміністратора, і відповідно контроль над всім сайтом.
Щоб успішно атакувати Wordpress, потрібно буде мати права Shop manager. Але дана умова не виявиться проблемою для XSS-вразливостей та фішингових атак, які можуть здійснити зловмисники.
Розробники плагіна не сидять на місці і вже випустили оновлення (3.4.6). Тому, якщо ваші плагіни не перевіряються на оновлення автоматично, потрібно встановити їх вручну, якщо ви не хочете випробувати долю…