El complemento de comercio electrónico de WordPress pone en riesgo más de 5,000 sitios web

TheCartPress, un complemento de comercio electrónico utilizado en miles de sitios web basados ​​en WordPress, tiene varias vulnerabilidades de alto riesgo.

Actualmente no hay soluciones disponibles para las fallas y, según su desarrollador, el soporte para el complemento se suspenderá el 1 de junio.

Las vulnerabilidades podrían permitir a los atacantes "ejecutar código PHP arbitrario, revelar datos confidenciales y realizar ataques Cross-Site Scripting [XSS] contra usuarios de instalaciones de WordPress con el complemento vulnerable", dijeron investigadores de la firma de seguridad High-Tech Bridge. miércoles consultivo.

Hay factores que limitan la explotación de algunos de los defectos, pero aún representan un riesgo significativo..

Por ejemplo, la explotación de la vulnerabilidad que permite la ejecución de código PHP requiere que el atacante tenga privilegios administrativos en el sitio web de WordPress. Sin embargo, un atacante también podría engañar al administrador real para que ejecute el exploit visitando una página maliciosa, según los investigadores de High-Tech Bridge. Esto se conoce como un ataque de falsificación de solicitud entre sitios (CSRF).

Otra vulnerabilidad permite a los atacantes no autenticados examinar los pedidos realizados por los usuarios del sitio de comercio electrónico que utiliza el complemento.

También hay múltiples problemas de XSS, tanto en el panel administrativo como en las páginas accesibles para el usuario. Estos defectos podrían permitir a los atacantes engañar a los usuarios del sitio para que realicen acciones deshonestas cuando hacen clic en URL específicamente diseñadas. Los ataques XSS donde la víctima es el administrador del sitio obviamente conllevan el mayor riesgo.

Los investigadores de High-Tech Bridge afirman que intentaron notificar al desarrollador del complemento sobre las fallas desde el 8 de abril sin éxito. Señalan que el desarrollador ya ha anunciado que "el soporte para TheCartPress finalizará el 1 de junio de 2015".

Como no está claro si alguna vez se solucionarán los defectos, los investigadores recomiendan desactivar o eliminar el complemento. Según las estadísticas del repositorio oficial de plugins de WordPress, TheCartPress actualmente tiene más de 5,000 instalaciones activas.

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.