Vulnerabilità critica rilevata nel plug-in di e-commerce di WordPress utilizzato da oltre 30.000 negozi online

wordpress plugins

È stato segnalato che il plug-in "Abandoned Cart Lite for WooCommerce" di WordPress, installato su oltre 30.000 siti Web, presenta una vulnerabilità di sicurezza critica. Secondo un avviso di Defiant's Wordfence, la vulnerabilità consente agli aggressori di ottenere l'accesso agli account degli utenti che hanno abbandonato i loro carrelli. La gravità della vulnerabilità, tracciata come CVE-2023-2986, è stata valutata 9,8 su 10 nel sistema di punteggio CVSS. Interessa tutte le versioni del plug-in, incluse le versioni 5.14.2 e precedenti.

Il problema deriva da un bypass dell'autenticazione dovuto a protezioni di crittografia inadeguate. Quando i clienti vengono avvisati dei loro carrelli della spesa abbandonati sui siti di e-commerce, la chiave di crittografia utilizzata è codificata nel plug-in. Ciò consente agli attori malintenzionati di accedere come utente con un carrello abbandonato. Il ricercatore di sicurezza István Márton ha affermato che esiste la possibilità di sfruttare la vulnerabilità del bypass dell'autenticazione per ottenere l'accesso a un account utente amministrativo o di livello superiore.

Vulnerabilità corretta all'inizio di giugno

Lo sviluppatore del plug-in, Tyche Softwares, ha risolto la vulnerabilità con la versione 5.15.0 il 6 giugno 2023 e la versione attuale è 5.15.2. La divulgazione di questa vulnerabilità coincide con la rivelazione di Wordfence di un altro difetto di bypass dell'autenticazione nel plug-in "Booking Calendar | Appointment Booking | BookIt" di StylemixThemes. Questo difetto, tracciato come CVE-2023-2834 con un punteggio CVSS di 9,8, interessa oltre 10.000 installazioni di WordPress. Deriva da una verifica insufficiente durante il processo di prenotazione dell'appuntamento, che consente agli aggressori non autenticati di accedere come qualsiasi utente esistente se hanno accesso all'e-mail dell'utente. Il problema è stato risolto nella versione 2.3.8, rilasciata il 13 giugno 2023, mentre le versioni 2.3.7 e precedenti sono interessate.

Perché i plugin di WordPress sono spesso presi di mira dagli hacker?

I plugin di WordPress sono spesso presi di mira dagli hacker per diversi motivi:

Popolarità e ampio utilizzo: WordPress è uno dei sistemi di gestione dei contenuti (CMS) più popolari in tutto il mondo, che alimenta una parte significativa dei siti Web su Internet. L'ampio utilizzo di WordPress lo rende un bersaglio attraente per gli hacker. Poiché i plug-in migliorano la funzionalità dei siti Web WordPress, sono ampiamente adottati dai proprietari di siti Web. Gli aggressori sanno che il targeting di plug-in popolari può potenzialmente compromettere un gran numero di siti Web.

Vulnerabilità e problemi di sicurezza: come qualsiasi software, i plugin di WordPress possono presentare vulnerabilità e debolezze di sicurezza. Queste vulnerabilità possono essere sfruttate dagli hacker per ottenere l'accesso non autorizzato, iniettare codice dannoso o eseguire altre attività dannose. I plug-in possono contenere errori di codifica, controlli di convalida insufficienti o misure di sicurezza inadeguate che li rendono suscettibili agli attacchi.

Mancanza di aggiornamenti e manutenzione: alcuni proprietari di siti Web potrebbero trascurare di mantenere aggiornati i propri plug-in di WordPress o non mantenerli correttamente. I plug-in obsoleti possono presentare vulnerabilità note che gli hacker possono sfruttare. Inoltre, i plug-in che non sono più mantenuti o supportati dagli sviluppatori potrebbero non ricevere patch di sicurezza tempestive, rendendoli vulnerabili agli attacchi.

Sviluppatori di plug-in di terze parti: i plug-in di WordPress sono spesso sviluppati da sviluppatori di terze parti che possono avere diversi livelli di esperienza in materia di sicurezza. Mentre molti sviluppatori danno la priorità alla sicurezza, altri potrebbero non disporre delle conoscenze o delle risorse necessarie per implementare solide misure di sicurezza. Gli hacker prendono di mira i plug-in sviluppati da sviluppatori meno attenti alla sicurezza per sfruttare i punti deboli del loro codice.

Accesso backdoor: i plug-in possono fungere da punto di ingresso backdoor per gli aggressori per ottenere l'accesso a un sito Web WordPress. Compromettendo un plug-in, gli hacker possono aggirare le misure di sicurezza e ottenere il controllo dell'intero sito web. Una volta all'interno, possono manipolare i contenuti, rubare informazioni sensibili o svolgere altre attività dannose.

Per mitigare il rischio associato ai plugin di WordPress, è fondamentale che i proprietari di siti Web seguano le migliori pratiche come:

  • Aggiorna regolarmente i plug-in alle versioni più recenti che includono patch di sicurezza.
  • Scegli plug-in da fonti affidabili e sviluppatori con una comprovata esperienza nel fornire aggiornamenti e supporto regolari.
  • Rimuovi o disattiva i plug-in inutilizzati per ridurre al minimo la superficie di attacco.
  • Utilizza un plug-in di sicurezza affidabile in grado di rilevare e proteggere da potenziali minacce.
  • Monitorare regolarmente la sicurezza del sito Web e implementare misure di sicurezza aggiuntive, come password complesse e autenticazione a due fattori.

Prendendo queste precauzioni, i proprietari di siti Web possono ridurre la probabilità di cadere vittima di attacchi mirati ai plug-in di WordPress.

Entro il Zaib
June 23, 2023
Computer Security
Italiano
June 23, 2023
Computer Security

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.