Ερευνητές ανακάλυψαν ευπάθειες και κενά ασφαλείας σε 10 πρόσθετα του WordPress, φτιαγμένα από μια εταιρεία που εξειδικεύεται σε e-commerce plugins, την Multidots. Το WordPress αφαίρεσε πολλά από αυτά αφού οι προγραμματιστές τους απέτυχαν να καλύψουν τα κενά.
Η ThreatPress ανακοίνωσε την Πέμπτη ότι οι ερευνητές της ανακάλυψαν διάφορες ευπάθειες σε plugins της Multidots. Τα πρόσθετα ήταν διαθέσιμα μέσω του WordPress.org, και έδιναν την δυνατότητα στους καταστηματάρχες να τροποποιούν τα site τους σύμφωνα με τις προτιμήσεις τους. Σχεδόν 20.000 ήταν οι συνολικές ενεργές εγκαταστάσεις την στιγμή που τα πρόσθετα αφαιρέθηκαν από το store, και μεταξύ τους υπήρξαν εφαρμογές όπως το page visit counter, Woocommerce Category Banner management και Checkout for digital goods.
Αυτό που ανακάλυψαν οι ερευνητές είναι ότι όλες οι εφαρμογές τους είναι ευπαθείς σε cross-site scripting (XSS), cross-site request forgery (CSRF) και SQL injection, μέσω τον οποίων οι hackers θα μπορούσαν να βάλουν keyloggers, να εφαρμόσουν κρυφά crypto-miners, να εκτελέσουν απομακρυσμένα κάποιον κώδικα ή ακόμα και να πάρουν τον πλήρη έλεγχο του site. Αυτό σημαίνει πως θα μπορούσαν να έχουν πρόσβαση και σε ευαίσθητα δεδομένα χρηστών όπως για παράδειγμα σε αποθηκευμένα στοιχεία καρτών καθώς τα προαναφερόμενα plugins χρησιμοποιούνται από online καταστήματα.
“Οι ευπάθειες επιτρέπουν σε μη εξουσιοδοτημένους χρήστες να εισάγουν κακόβουλο κώδικα μέσω JavaScript, δίνοντας την δυνατότητα να υποκλέψουν στοιχεία από πιθανούς πελάτες, στοιχεία καρτών ή credentials από διαχειριστές.” ανέφερε η ThreatPress.
Η Multidots ενημερώθηκε στις 8 Μαΐου για τις ευπάθειες και η ίδια τα επιβεβαίωσε. Παρόλα αυτά, δεν ήταν ικανή να διορθώσει τα κενά και έτσι η πλειοψηφία από τα επηρεαζόμενα plugins αφαιρέθηκαν ύστερα από αναφορά της ThreatPress στο WordPress.
“Είναι ευχάριστο να ξέρουμε ότι το WordPress μπορεί να αντιδράσει γρήγορα σε τέτοια ζητήματα, αλλά ακόμα υπάρχει ένα μεγάλο πρόβλημα. Δεν υπάρχει τρόπος να ενημερώσουμε όλους τους ενεργούς χρήστες για τα πρόσθετα που αφαιρέθηκαν.”
“Είναι περίεργο που το WordPress εμφανίζει πληροφορίες σχετικά με όλα τα διαθέσιμα updates από τις εγκατεστημένες εφαρμογές, αλλά δεν έχει παρόμοια λειτουργία για τις κακόβουλες που έχουν αφαιρεθεί για λόγους ασφαλείας. Ελπίζουμε να δούμε σύντομα μια τέτοια λειτουργία καθώς μόνο για τις εφαρμογές της Multidots θα μπορούσαμε να σώσουμε σχεδόν 20.000 ιστότοπους!”
