תוסף וורדפרס, הפגיעות הקריטית של WooCommerce תוקנה באמצעות עדכון 3.4.6

חֲדָשׁוֹת
בִּטָחוֹן / תוסף וורדפרס, הפגיעות הקריטית של WooCommerce תוקנה באמצעות עדכון 3.4.6 קריאה של 2 דקות

מקור לוגו של WooCommerce - WooCommerce



אם יש לך אי פעם אתר אינטרנט של מסחר אלקטרוני, יש כמעט אחוז אחוז ההסתברות שבוודאי שמעת על WooCommerce, התוסף הפופולרי לאתרי מסחר אלקטרוני. כוחו של למעלה מ- 35% מאתרי המסחר האלקטרוני באינטרנט ועם יותר מ -4 מיליון התקנות, WooCommerce הוא אחד התוספים המהימנים ביותר עבור משתמשים המעוניינים להחזיק חנות מקוונת משל עצמם. אם אתה משתמש בתוסף WooCommerce, יש כמה חדשות חשובות שאסור לך לפספס.

הטכניקות

סיימון סקנל, חוקר ב- RIPS Technologies GmbH, גילה פגיעות בתוסף (זיכויים ל האקרניוז למציאת הבלוג), אשר על פי הדיווחים מאפשר למשתמש מורשה זדוני או נפגע להשיג שליטה מלאה באתר, בתנאי שהוא משתמש בגרסת התוסף שלא הותקנה. תיאור הפגיעות בבלוג של סיימון נקרא כדלקמן:



כרטיס לכידה ייעודי

פגם באופן בו וורדפרס מטפלת בהרשאות יכול להוביל להסלמת הרשאות בתוספי וורדפרס. זה משפיע למשל על WooCommerce, תוסף המסחר האלקטרוני הפופולרי ביותר עם למעלה מ -4 מיליון התקנות. הפגיעות מאפשרת מנהלי חנויות למחוק קבצים מסוימים בשרת ואז להשתלט על כל חשבון מנהל מערכת.



שמעון מגלה עוד פרטים טכניים על הניצול בבלוג שלו. הוא מגלה כיצד וורדפרס מאפשרת אוטומטית חשבונות עם הכיתוב ' עריכת_משתמשים 'הרשאה לערוך גם את אישורי חשבון מנהל המערכת. עם זאת, תוספים כמו WooCommerce משלבים יכולות מטא, המיושמות כפונקציות, וערך ההחזר שלהם מחליט אם המשתמש הנוכחי יכול לבצע פעולה זו או לא. זה מונע ממנהלי החנויות לערוך חשבונות מנהל.



הפגם

החיסרון העיקרי באופן בו וורדפרס מטפלת בהרשאות חשבון אלה, הוא שיכולות המטא של התוסף הנתון מבוצעות אם ורק אם התוסף פעיל. אם במקרה, תוסף WooCommerce יושבת, אז כל חשבונות המשתמשים עם ' עריכת_משתמשים ההרשאה תוכל להתעסק גם בחשבונות המנהל, ומכאן להשתלט על האתר כולו.

למרות שרק מנהלי מערכת יכולים להשבית תוספים, פגיעות של מחיקת קבצים שרירותית ב- WooCommerce מאפשרת למנהלי חנויות למחוק כל קובץ בשרת שניתן לכתוב. ניתן להשתמש בפגיעות זו כדי להשבית את WooCommerce עצמה, ובכך להיפטר מכל המגבלות בחשבון מנהל החנות, מכיוון “ על ידי מחיקת הקובץ הראשי של WooCommerce,woocommerce.php, וורדפרס לא תוכל לטעון את התוסף ואז להשבית אותו ”כמו שאומר סיימון בבלוג שלו.



הפתרון

הפגיעות אמנם קריטית למדי, אך החדשות הטובות הן שכן תוקנו בגרסה 3.4.6 של WooCommerce, בחודש שעבר. אם אתה משתמש ב- WooCommerce באתר שלך, מומלץ מאוד לעדכן גם את תוסף ה- WooCommerce ואת Wordpress עצמו , כדי לוודא שנפטרת מהפגיעות האמורה.

תגים בִּטָחוֹן וורדפרס