Honderdduizend webshops kwetsbaar door kritiek lek in 'wishlist' plug-in

[Captain Kirk]

Meer dan honderdduizend websites lopen door een kritieke kwetsbaarheid in een gebruikte plug-in het risico om te worden aangevallen en een beveiligingsupdate is niet beschikbaar. Volgens securitybedrijf Patchstack gaat het om een zeer gevaarlijke kwetsbaarheid en zal het naar verwachting op grote schaal door criminelen worden misbruikt.

Het beveiligingslek is aanwezig in TI WooCommerce Wishlist waarmee webshops klanten de optie kunnen bieden om producten op een wishlist te plaatsen, zodat die op een later moment zijn aan te schaffen. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan zeven miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder de Wishlist-plug-in.

Volgens cijfers van WordPress.org maken meer dan honderdduizend websites gebruik van de plug-in. Die blijkt gebruikersinvoer niet goed te escapen, waardoor voor ongeauthenticeerde aanvallers SQL-Injection mogelijk is. Een aanvaller kan zo bijvoorbeeld de inhoud van de database stelen of andere aanvallen uitvoeren.

Patchstack heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Securitybedrijf Wordfence hanteert een impactscore van 9.8. De ontwikkelaar van de plug-in heeft geen update beschikbaar gesteld, waardoor alle websites die van de plug-in gebruikmaken risico lopen.

 

bron: https://www.security.nl