WooCommerce divulgou um alerta sobre uma falha XSS, ao mesmo tempo em que o Wordfence alertou sobre uma vulnerabilidade importante em um plugin WooCommerce chamado Dokan Pro. O aviso sobre o Dokan Pro destacou que uma falha de injeção SQL poderia permitir que invasores não autenticados obtivessem informações confidenciais de um banco de dados do site.
A versão gratuita do Dokan não é afetada.
Wordfence informou ao SEJ que o Dokan Lite, a versão gratuita do plugin, não sofre impacto.
Dokan Pro é um plugin de WordPress para lojas online.
O Plugin Dokan Pro possibilita que os usuários convertam seu site WooCommerce em um mercado multi-vendedor, semelhante aos sites Amazon e Etsy, com mais de 50.000 instalações atualmente. As versões anteriores e incluindo a 3.10.3 do Plugin apresentam vulnerabilidades.
Segundo o WordFence, a versão 3.11.0 é considerada a mais segura e completamente corrigida até o momento.
O WordPress.org reporta que a versão lite dos plugins tem mais de 50.000 instalações atuais e um total de mais de 3 milhões de instalações. No entanto, apenas 30,6% das instalações estão usando a versão mais recente, a 3.11.
Essa falha de segurança não impacta o Dokan Lite, esses dados apenas ilustram a distribuição da versão Lite e podem ou não refletir a distribuição da versão Pro do Dokan.
Resumo das estatísticas de download do plugin Dokan Lite capturado em uma imagem.
O Changelog não exibe a correção da falha de segurança.
O changelog informa aos usuários sobre o conteúdo de uma atualização de um plugin. Muitas vezes, os desenvolvedores de plugins e temas destacam quando uma atualização contém correções para vulnerabilidades. Apesar de uma vulnerabilidade afetar versões até a 3.10.3, o changelog da versão 3.10.4 lançada em 25 de abril de 2024 não indica a presença de um patch. Isso levanta a possibilidade de que o editor do Dokan Pro tenha decidido não divulgar a correção para evitar chamar a atenção de hackers para a vulnerabilidade crítica.
Atualização do Dokan Pro com imagens das mudanças realizadas.
Classificação de CVSS 10.
O Common Vulnerability Scoring System (CVSS) é um padrão aberto que consiste em atribuir uma pontuação que reflete a gravidade de uma vulnerabilidade. Essa pontuação é determinada com base na facilidade de exploração da vulnerabilidade, no impacto que ela pode causar, e em outras métricas adicionais, como segurança e urgência. Esses fatores combinados resultam em uma pontuação que varia de menos grave a mais grave.
O Dokan Plugin Pro foi classificado com uma pontuação CVSS de 10, o nível mais crítico de gravidade, indicando que é recomendável que todos os usuários do plugin ajam rapidamente.
Captura de tela da Pontuação de Severidade da Vulnerabilidade do Dokan Pro.
Explicação da fragilidade.
Foi identificada uma falha de segurança de injeção SQL não autenticada no Dokan Pro. Existem vulnerabilidades autenticadas e não autenticadas, sendo que no caso de não autenticadas não é necessário que o atacante tenha credenciais de usuário para realizar um ataque, tornando esse cenário mais grave do que o autenticado.
Uma vulnerabilidade de injeção SQL é um tipo de falha em que um plugin ou tema possibilita que um invasor manipule o banco de dados. O banco de dados é essencial para cada site WordPress, pois contém senhas, nomes de usuário, posts, temas e dados de plugins. Uma falha que permita a manipulação do banco de dados por qualquer pessoa é bastante grave e representa um grande risco.
A descrição da Wordfence é a seguinte:
O plugin Dokan Pro para WordPress, em todas as versões até a 3.10.3, apresenta uma vulnerabilidade de injeção SQL no parâmetro ‘code’. Isso ocorre devido à falta de escape adequado no parâmetro fornecido pelo usuário e à falta de preparação suficiente na consulta SQL existente. Como resultado, é possível para atacantes não autenticados adicionar consultas SQL adicionais às consultas existentes, o que poderia permitir a extração de informações confidenciais do banco de dados.
Instrução sugerida para utilizadores do Dokan Pro
Os usuários do plugin Dokan Pro são aconselhados a atualizar seus sites o mais rapidamente possível. Embora seja recomendável testar as atualizações antes de fazer o upload para o site ao vivo, devido à gravidade dessa vulnerabilidade, os usuários devem considerar acelerar esse processo de atualização.
O WooCommerce divulgou um aviso sobre uma falha de segurança que impacta as versões 8.8.0 e posteriores do sistema. Esta vulnerabilidade é classificada como nível médio, com uma avaliação de 5.4, e afeta apenas os usuários que utilizam o recurso de Atributo de ordem. Mesmo assim, o WooCommerce recomenda enfaticamente que os usuários realizem a atualização para a versão mais recente, a 8.9.3, o mais rápido possível.
Vulnerabilidade de script entre sites (XSS) no WooCommerce
A vulnerabilidade que impacta o WooCommerce é conhecida como Cross Site Scripting (XSS), a qual requer a interação de um usuário, como um administrador de loja do WooCommerce, ao clicar em um link.
Segundo o WooCommerce:
Essa falha de segurança poderia abrir a possibilidade de ocorrer um ataque de cross-site scripting, no qual um indivíduo mal-intencionado manipula um link para inserir conteúdo nocivo, como código JavaScript, em uma página. Qualquer pessoa que clicar no link, como um cliente, um comerciante ou um administrador da loja, pode ser afetada por essa vulnerabilidade.
Não temos conhecimento de nenhuma utilização desta falha de segurança. Ela foi inicialmente identificada durante o programa de pesquisa de segurança proativa da Automattic em colaboração com HackerOne. Não recebemos relatórios de exploração por parte das nossas equipas de apoio, e as análises realizadas pela nossa equipa de engenharia não indicaram qualquer exploração da vulnerabilidade.
Os provedores de hospedagem na web devem adotar uma abordagem mais proativa?
O desenvolvedor web e especialista em marketing de busca Adam J. Humphreys, da Making 8, inc. (perfil no LinkedIn), acredita que provedores de hospedagem na web deveriam agir de forma mais preventiva ao corrigir vulnerabilidades críticas, ainda que isso possa resultar na perda de funcionalidade de alguns sites caso haja conflito com outros plugins ou temas utilizados.
Adão fez uma observação.
A questão mais grave reside no fato de que o WordPress não possui atualizações automáticas, criando assim uma vulnerabilidade constante que leva à falsa sensação de segurança nos sites. A maioria dos provedores de hospedagem não realiza as atualizações principais e raramente atualizam os plugins, mesmo que o façam apenas quando uma atualização do núcleo é disponibilizada. Além disso, muitas atualizações de plugins premium não são realizadas automaticamente, sendo que muitas delas incluem correções de segurança essenciais.
Eu perguntei se ele gostaria de realizar uma atualização forçada no site.
“Sim, muitos hospedeiros não realizam atualizações até que uma atualização do núcleo do WordPress seja lançada, conforme confirmado por engenheiros do Softaculous (um instalador automático do WordPress) para mim. A WPEngine, que alega oferecer atualizações totalmente gerenciadas, não o faz com a frequência necessária para corrigir falhas de segurança em plugins. O WordPress sem uma gestão contínua se torna uma vulnerabilidade, no entanto, ainda assim, metade de todos os sites são criados usando essa plataforma. Em minha opinião, essa é uma questão de supervisão pelo WordPress que precisa ser abordada.”
Obtenha mais informações em Wordfence.
Versão Dokan Pro até 3.10.3 vulnerável a injeção SQL sem autenticação.
Consulte a documentação oficial sobre a vulnerabilidade do WooCommerce.
Atualização do WooCommerce corrige vulnerabilidade de Cross-site Scripting no endereço.
Imagem principal fornecida pela Shutterstock/New África.
