Lỗ hổng bỏ qua xác thực nghiêm trọng trong plugin của WooCommerce

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
613 bài viết
Lỗ hổng bỏ qua xác thực nghiêm trọng trong plugin của WooCommerce
WordPress vừa phát hành bản cập nhật khẩn cấp cho plugin Abandoned Cart Lite trong WooCommerce - một công cụ đã được tích hợp vào hoạt động kinh doanh của hơn 30.000 trang web trên toàn cầu.

Anh-whitehat-vn.png

Abandoned Cart Lite là một plugin miễn phí dành cho WooCommerce, giúp theo dõi và khôi phục các giỏ hàng bị bỏ bởi trên thị trường có khoảng 70% đến 75% khách hàng đưa sản phẩm vào giỏ hàng mà không hoàn tất quá trình mua hàng.

Plugin này bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có mã định danh CVE-2023-2986, điểm CVSS là 9,8. Đây là lỗi bỏ qua xác thực trong các phiên bản trước 5.14.2, có thể khiến trang web và dữ liệu khách hàng gặp rủi ro.

Lỗ hổng tồn tại do mã hóa không đủ trong quá trình giải mã liên kết giỏ hàng bị bỏ quên thông qua plugin. Điều này tạo cơ hội cho kẻ tấn công chưa xác thực đăng nhập với vai trò một người dùng bất kỳ có giỏ hàng bị bỏ quên, khiến kẻ xấu xâm nhập thông tin tài khoản của khách hàng.

Các chuyên gia đã có bằng chứng về việc tin tặc đang cố gắng khai thác lỗ hổng này. Wordfence còn lưu ý nhóm đã ngăn chặn 3 cuộc tấn công nhắm vào lỗ hổng trong 24 giờ qua.

Nếu bạn đang sử dụng Abandoned Cart Lite, hãy nâng cấp lên phiên bản 5.15.0 ngay lập tức.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
abandoned cart lite cve-2023-2986 woocommerce wordpress
Bên trên