WordPress e-commerce plug-in brengt meer dan 5.000 websites in gevaar

TheCartPress, een e-commerce plug-in die wordt gebruikt op duizenden op WordPress gebaseerde websites, heeft verschillende risicovolle kwetsbaarheden.

Er zijn momenteel geen oplossingen beschikbaar voor de gebreken en volgens de ontwikkelaar wordt de ondersteuning voor de plug-in op 1 juni stopgezet.

Door de kwetsbaarheden kunnen aanvallers "willekeurige PHP-code uitvoeren, gevoelige gegevens vrijgeven en Cross-Site Scripting [XSS] -aanvallen uitvoeren op gebruikers van WordPress-installaties met de kwetsbare plug-in", aldus onderzoekers van beveiligingsbedrijf High-Tech Bridge in een adviserende woensdag.

Er zijn factoren die de exploitatie van enkele van de gebreken beperken, maar ze vormen nog steeds een aanzienlijk risico.

Om misbruik te maken van het beveiligingslek waardoor PHP-code kan worden uitgevoerd, moet de aanvaller beheerdersrechten hebben op de WordPress-website. Een aanvaller kan de echte beheerder echter ook misleiden om de exploit uit te voeren door een kwaadaardige pagina te bezoeken, aldus de High-Tech Bridge-onderzoekers. Dit staat bekend als een cross-site request forgery (CSRF) -aanval.

Een ander beveiligingslek stelt niet-geverifieerde aanvallers in staat om door bestellingen te bladeren die zijn geplaatst door gebruikers van de e-commercesite die de plug-in gebruikt.

Er zijn ook meerdere XSS-problemen, zowel in het beheerderspaneel als op voor gebruikers toegankelijke pagina's. Deze tekortkomingen kunnen ervoor zorgen dat aanvallers de gebruikers van de site kunnen misleiden tot het uitvoeren van frauduleuze acties wanneer ze op specifiek vervaardigde URL's klikken. XSS-aanvallen waarbij het slachtoffer de beheerder van de site is, brengen uiteraard het grootste risico met zich mee.

De High-Tech Bridge-onderzoekers beweren dat ze sinds 8 april zonder succes hebben geprobeerd de ontwikkelaar van de plug-in op de hoogte te stellen van de gebreken. Ze wijzen erop dat de ontwikkelaar al heeft aangekondigd dat "de ondersteuning voor TheCartPress op 1 juni 2015 zal eindigen."

Omdat het niet duidelijk is of de fouten ooit zullen worden verholpen, raden de onderzoekers aan om de plug-in uit te schakelen of te verwijderen. Volgens statistieken van de officiële WordPress plug-in repository heeft TheCartPress momenteel meer dan 5.000 actieve installaties.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.