WooCommerce plugin voor wenslijsten vatbaar voor misbruik
Meer dan honderdduizend websites lopen risico op aanvallen door een kritieke kwetsbaarheid in de TI WooCommerce Wishlist-plug-in. Deze plug-in, die gebruikt wordt om klanten in WooCommerce-webshops een verlanglijstje te laten maken, blijkt een ernstig beveiligingslek te bevatten waarvoor nog geen beveiligingsupdate beschikbaar is. Meer dan honderdduizend websites lopen risico op aanvallen door een kritieke kwetsbaarheid in de TI WooCommerce Wishlist-plug-in. Deze plug-in, die gebruikt wordt om klanten in WooCommerce-webshops een verlanglijstje te laten maken, blijkt een ernstig beveiligingslek te bevatten waarvoor nog geen beveiligingsupdate beschikbaar is.
Securitybedrijf Patchstack heeft ervoor gewaarschuwd dat de kwetsbaarheid zeer gevaarlijk is en waarschijnlijk op grote schaal door criminelen zal worden misbruikt.
De kwetsbaarheid wordt veroorzaakt doordat gebruikersinvoer niet goed wordt 'geescaped', waardoor ongeauthenticeerde aanvallers een SQL-injectie kunnen uitvoeren. Dit stelt aanvallers in staat om bijvoorbeeld de inhoud van de database te stelen of andere aanvallen uit te voeren. De plug-in is op meer dan honderdduizend websites geïnstalleerd, wat de impact van dit lek potentieel enorm maakt. WooCommerce zelf is een populaire plug-in voor WordPress waarmee mensen hun eigen webwinkel kunnen opzetten, en biedt allerlei extra plug-ins, zoals de Wishlist-plug-in.
Beveiligingsbedrijven Patchstack en Wordfence hebben de impact van deze kwetsbaarheid beoordeeld met respectievelijk een score van 9,3 en 9,8 op een schaal van 10, wat wijst op de ernst van het probleem. De ontwikkelaar van de plug-in heeft echter nog geen update uitgebracht om het probleem op te lossen, waardoor alle websites die de plug-in gebruiken momenteel kwetsbaar blijven voor aanvallen.
Bron: Security.nl
Gerelateerde nieuwsberichten
28/06/2023 Lek ontdekt in module voor leeromgevingen voor Wordpress
15/06/2023 Bestelgegevens duizenden webwinkels via onveilige betaalplug-in te achterhalen
28/05/2023 WordFence waarschuwt voor lek in cookie consent add-on
Om te reageren heb je een account nodig en je moet ingelogd zijn.