WooCommerce-ის პოპულარულ პლაგინში არსებული ხარვეზი თაღლითური ტრანზაქციების რისკს ქმნის

WordPress-ის უსაფრთხოების შესახებ გავრცელებული ახალი გაფრთხილება მიუთითებს კრიტიკულ მოწყვლადობაზე, რომელიც WooCommerce Square პლაგინის 80,000-ზე მეტ ინსტალაციას ეხება. ეს ხარვეზი არაავტორიზებულ თავდამსხმელებს საშუალებას აძლევს, მოიპოვონ წვდომა სისტემაში შენახულ საკრედიტო ბარათებზე და განახორციელონ თაღლითური გადახდები.

აღნიშნული პლაგინი ფართოდ გამოიყენება ელექტრონული კომერციის საიტებზე გადახდების სამართავად, თუმცა არსებული უსაფრთხოების ხვრელი სერიოზულ საფრთხეს უქმნის როგორც მაღაზიის მფლობელებს, ისე მათ მომხმარებლებს.

WooCommerce Square WordPress პლაგინი

WooCommerce Square პლაგინი WordPress-ის საიტებს საშუალებას აძლევს, მიიღონ გადახდები Square POS-ის მეშვეობით და მოახდინონ პროდუქციის მარაგების მონაცემების სინქრონიზაცია Square-სა და WooCommerce-ს შორის. პლაგინის მეშვეობით, WooCommerce-ის პლატფორმაზე მომუშავე სავაჭრო ობიექტებს შეუძლიათ მხარი დაუჭირონ გადახდებს ისეთი სერვისებით, როგორიცაა Apple Pay®, Google Pay, WooCommerce Pre-Orders და WooCommerce Subscriptions.

IDOR მოწყვლადობა (Insecure Direct Object Reference)

პლაგინში არსებული ხარვეზი გამოწვეულია IDOR (Insecure Direct Object Reference) მოწყვლადობით. ეს არის უსაფრთხოების ხარვეზი, რომელიც წარმოიქმნება მაშინ, როდესაც კრიტიკული მონაცემები (მაგალითად, საიდენტიფიკაციო ნომრები) საჯაროდ ხელმისაწვდომია URL-ის ფაილის პარამეტრებში. ეს საშუალებას აძლევს თავდამსხმელს, მანიპულირება მოახდინოს ამ მონაცემებით სათანადო წვდომის გარეშე, რაც ჩვეულებრივ პირობებში მათთვის აკრძალული უნდა იყოს.

Open Worldwide Application Security Project (OWASP) IDOR-ს შემდეგნაირად განმარტავს:

„Insecure Direct Object Reference (IDOR) არის მოწყვლადობა, რომელიც წარმოიქმნება მაშინ, როდესაც თავდამსხმელებს შეუძლიათ წვდომა ჰქონდეთ ობიექტებზე ან შეცვალონ ისინი ვებ-აპლიკაციის URL-ებში ან პარამეტრებში გამოყენებული იდენტიფიკატორების მანიპულირებით. ეს ხდება წვდომის კონტროლის შემოწმების არარსებობის გამო, რის შედეგადაც ვერ ხერხდება იმის გადამოწმება, უნდა ჰქონდეს თუ არა მომხმარებელს კონკრეტულ მონაცემებზე წვდომის უფლება.“

ამ მოწყვლადობის გამოსაყენებლად თავდამსხმელს არ სჭირდება ავტორიზაცია ან რაიმე დონის ნებართვის მოპოვება, რაც საგრძნობლად აადვილებს შეტევის განხორციელებას დაზარალებულ ვებგვერდებზე. Wordfence-ის მიერ გავრცელებული ინფორმაციით:

„WordPress-ის WooCommerce Square პლაგინი მოწყვლადია IDOR-ის მიმართ ყველა ვერსიაში 5.1.1-ის ჩათვლით. ხარვეზი გვხვდება get_token_by_id ფუნქციაში, მომხმარებლის მიერ კონტროლირებად გასაღებზე ვალიდაციის არარსებობის გამო. ეს საშუალებას აძლევს არაავტორიზებულ თავდამსხმელებს, გამოაჩინონ Square-ის ნებისმიერი „ccof“ (შენახული საკრედიტო ბარათი) მნიშვნელობა და გამოიყენონ იგი სამიზნე საიტზე თაღლითური გადახდების განსახორციელებლად.“

WooCommerce Square პლაგინის რამდენიმე ვერსია უკვე განახლდა და გამოსწორდა. მომხმარებლებს მკაცრად ეძლევათ რეკომენდაცია, განაახლონ პლაგინი შემდეგი ვერსიებიდან ერთ-ერთზე მაინც:

• 4.2.3
• 4.3.2
• 4.4.2
• 4.5.2
• 4.6.4
• 4.7.4
• 4.8.8
• 4.9.9
• 5.0.1
• 5.1.2

CVSS-ის მიხედვით, ამ მოწყვლადობის სიმძიმის ქულაა 7.5. ეს მიუთითებს იმაზე, რომ ხარვეზი სახიფათოა და მისი გამოყენება დისტანციურად არის შესაძლებელი, თუმცა არსებობს გარკვეული შეზღუდვები, რის გამოც მას „კრიტიკული“ სტატუსი არ მიენიჭა.