-
09/04/2020
-
85
-
554 bài viết
Lỗ hổng bỏ qua xác thực nghiêm trọng trong plugin của WooCommerce
WordPress vừa phát hành bản cập nhật khẩn cấp cho plugin Abandoned Cart Lite trong WooCommerce - một công cụ đã được tích hợp vào hoạt động kinh doanh của hơn 30.000 trang web trên toàn cầu.
Abandoned Cart Lite là một plugin miễn phí dành cho WooCommerce, giúp theo dõi và khôi phục các giỏ hàng bị bỏ bởi trên thị trường có khoảng 70% đến 75% khách hàng đưa sản phẩm vào giỏ hàng mà không hoàn tất quá trình mua hàng.
Plugin này bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có mã định danh CVE-2023-2986, điểm CVSS là 9,8. Đây là lỗi bỏ qua xác thực trong các phiên bản trước 5.14.2, có thể khiến trang web và dữ liệu khách hàng gặp rủi ro.
Lỗ hổng tồn tại do mã hóa không đủ trong quá trình giải mã liên kết giỏ hàng bị bỏ quên thông qua plugin. Điều này tạo cơ hội cho kẻ tấn công chưa xác thực đăng nhập với vai trò một người dùng bất kỳ có giỏ hàng bị bỏ quên, khiến kẻ xấu xâm nhập thông tin tài khoản của khách hàng.
Các chuyên gia đã có bằng chứng về việc tin tặc đang cố gắng khai thác lỗ hổng này. Wordfence còn lưu ý nhóm đã ngăn chặn 3 cuộc tấn công nhắm vào lỗ hổng trong 24 giờ qua.
Nếu bạn đang sử dụng Abandoned Cart Lite, hãy nâng cấp lên phiên bản 5.15.0 ngay lập tức.
Abandoned Cart Lite là một plugin miễn phí dành cho WooCommerce, giúp theo dõi và khôi phục các giỏ hàng bị bỏ bởi trên thị trường có khoảng 70% đến 75% khách hàng đưa sản phẩm vào giỏ hàng mà không hoàn tất quá trình mua hàng.
Plugin này bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có mã định danh CVE-2023-2986, điểm CVSS là 9,8. Đây là lỗi bỏ qua xác thực trong các phiên bản trước 5.14.2, có thể khiến trang web và dữ liệu khách hàng gặp rủi ro.
Lỗ hổng tồn tại do mã hóa không đủ trong quá trình giải mã liên kết giỏ hàng bị bỏ quên thông qua plugin. Điều này tạo cơ hội cho kẻ tấn công chưa xác thực đăng nhập với vai trò một người dùng bất kỳ có giỏ hàng bị bỏ quên, khiến kẻ xấu xâm nhập thông tin tài khoản của khách hàng.
Các chuyên gia đã có bằng chứng về việc tin tặc đang cố gắng khai thác lỗ hổng này. Wordfence còn lưu ý nhóm đã ngăn chặn 3 cuộc tấn công nhắm vào lỗ hổng trong 24 giờ qua.
Nếu bạn đang sử dụng Abandoned Cart Lite, hãy nâng cấp lên phiên bản 5.15.0 ngay lập tức.
Theo Security Online