Discount Rules dla wtyczki WooCommerce WordPress ponownie otrzymują łatkę

To już kolejny raz, kiedy ta wtyczka otrzymuje poważne aktualizacje.

Użytkownicy wtyczki WooCommerce WordPress o nazwie Discount Rules muszą zainstalować trzecią łatkę, aby naprawić 2 poważne wady XSS. Twórcy wtyczki Discount Rules dla wtyczki WooCommerce WordPress po raz trzeci ujawnili poprawkę bezpieczeństwa mającą na celu naprawienie dwóch poważnych błędów cross-site scripting (XSS), które mogą być wykorzystane przez atakującego do przejęcia docelowej witryny.

Administratorzy sklepów internetowych korzystających z wtyczki WordPress Discount Rules dla WooCommerce muszą jak najszybciej zastosować łatkę. Zespół programistów odpowiedzialny za wtyczkę dwukrotnie próbował rozwiązać te same problemy, pierwsza łatka została wydana 22 sierpnia, a druga 2 września, ale obu nie udało się naprawić luk.

Trzecia runda poprawek bezpieczeństwa została wydana 9 września, a teraz badacze z Wordfence publicznie ujawnili szczegóły techniczne błędów.

20 sierpnia 2020 roku zespół ds. Wywiadu zagrożeń Wordfence został poinformowany o kilku lukach, które zostały załatane w zasadach rabatów dla WooCommerce, wtyczki WordPress zainstalowanej na ponad 40 000 witryn. Tego samego dnia Wodfence udostępnił regułę zapory sieciowej, aby chronić się przed tymi lukami. Podczas dochodzenia został odkryty również osobny zestaw luk w zabezpieczeniach wtyczki, które nie zostały jeszcze załatane, i udostępniliśmy regułę zapory sieciowej, aby chronić przed tymi osobnymi lukami następnego dnia, 21 sierpnia 2020 r.

Obie luki są związane z implementacją asynchronicznego kodu JavaScript i XML (AJAX) przez programistę wtyczki. Są one klasyfikowane jako obejście autoryzacji prowadzące do przechowywanych błędów cross-site scripting.

Luki w zabezpieczeniach, które zostały początkowo rozwiązane we wtyczce, to działania AJAX obecne w bazie kodu „v2” wtyczki, które umożliwiały każdemu odwiedzającemu witrynę dodawanie, modyfikowanie i usuwanie tych reguł, umożliwiając im dostęp do istniejących kuponów.

20 sierpnia eksperci Wordfence zgłosili problemy w wersji 2 zasad rabatów dla WooCommerce do Flycart, zespołu programistów odpowiedzialnego za wtyczkę.

Luki w zabezpieczeniach, które zostały pierwotnie załatane we wtyczce, to działania AJAX obecne w bazie kodu„ v2 ”wtyczki, które umożliwiały każdemu odwiedzającemu witrynę dodawanie, modyfikowanie i usuwanie tych reguł oraz przeglądanie istniejących kuponów. Niestety, wtyczka utrzymywała oddzielną bazę kodu „v1” zawierającą wcześniejszą wersję tej funkcji. Każdy odwiedzający witrynę może przełączać się między bazą kodu v1 i v2, odwiedzając dowolną stronę w witrynie i dodając parametr ciągu zapytania awdr_switch_plugin_to ustawiony na v1 lub v2.

Druga łatka wydana na początku września usuwała wady, ale pozostawiła funkcję przełączania wersji podatną na ataki polegające na fałszowaniu żądań między witrynami. 9 września Fylcart wydał poprawkę, która dotyczyła obu zasad rabatów dotyczących problemów z WooCommerce.

Eksperci zdecydowanie zalecają jak najszybszą aktualizację tej wtyczki do najnowszej wersji 2.2.1.