Welcart電子商務插件中的一個安全漏洞打開了網站進行代碼注入。研究人員說,這可能導致安裝付款收錄機,網站崩潰或通過SQL注入獲取信息。
Welcart電子商務是擁有20000隻多安裝一個免費的WordPress插件-它坐落在日本市場佔有率名列前茅,根據WordPress的。它允許網站所有者以統包方式在其網站上添加在線購物,並提供銷售實物商品,數字商品和訂閱的選項,並提供16種不同的付款方式。
據Wordfence稱,高嚴重性漏洞(CVE待定)是一個PHP對象注入漏洞,該漏洞以平台處理cookie的方式存在。
研究人員在周四關於該漏洞的帖子中解釋說:「它使用自己的cookie(與WordPress使用的cookie分開)來跟蹤用戶會話。」 「對網站的每次請求都會導致get_cookie函數解析usces_cookie。此函數使用usces_unserialize對該Cookie的內容進行解碼。」
仔細觀察,研究人員發現可以將帶有usces_cookie參數集的請求發送到特製的字元串,該字元串一旦被非序列化,將注入一個PHP對象。
PHP對象注入是一個應用程序級漏洞,為代碼注入,SQL注入,路徑遍歷和應用程序拒絕服務鋪平了道路。
根據OSWAP的說法: 「當在將用戶提供的輸入傳遞給unserialize()PHP函數之前,未對用戶提供的輸入進行適當的清理時,就會發生此漏洞。」 「由於PHP允許對象序列化,所以攻擊者可以將臨時序列化的字元串傳遞給易受攻擊的unserialize()調用,從而將任意PHP對象注入應用程序範圍。」
研究人員補充說,PHP對象注入通常可以在更大的漏洞利用鏈中使用,從而使攻擊者可以利用所謂的魔術方法,這將允許遠程執行代碼並完成站點接管。幸運的是,事實並非如此。
Wordfence表示:「該插件包括一個tcpdf庫,其中包含__destruct魔術方法,該方法可用於在其他情況下創建POP鏈。」 「不存在完整的POP鏈,因為該插件在載入和定義TCPDF類之前未對cookie進行序列化,因此無法用該類注入對象。」
插件的發行商Collne Inc.在10月發布的Welcart 1.9.36版本中修復了該問題。網站管理員應儘快升級。
插件問題
WordPress插件繼續為攻擊網路犯罪分子提供方便的途徑。
10月,Post Grid中發現了兩個高嚴重性漏洞,Post Grid是一個WordPress插件,安裝量超過6萬,為站點接管打開了大門。到了9月,Icegram的電子郵件訂閱者和新聞通訊插件中的一個高嚴重漏洞被發現影響 了100,000多個WordPress網站。
8月早些時候,一個旨在向WordPress網站添加測驗和調查的插件修復了兩個關鍵漏洞。這些漏洞可能被未經身份驗證的遠程攻擊者利用,以發起各種攻擊,包括完全接管易受攻擊的網站。 同樣在8月, Newsletter是一個WordPress插件,安裝了300,000多個安裝,被發現有一對漏洞,可能導致代碼執行甚至網站接管。
而且, 研究人員在7月警告 了一個名為Comments – wpDiscuz的WordPress插件中的一個嚴重漏洞,該插件已安裝在70,000多個網站上。該漏洞使未經身份驗證的攻擊者可以上傳任意文件(包括PHP文件),並最終在易受攻擊的網站伺服器上執行遠程代碼。