22 marca 2023 r. odkryto poważną lukę w WooCommerce Payments – popularnej wtyczce systemu WooCommerce, która umożliwia prowadzenie sprzedaży poprzez sklep internetowy oparty na platformie WordPress.
WooCommerce Payments to popularny dodatek, który umożliwia sprzedawcom przyjmowanie płatności kartą kredytową bezpośrednio na swojej stronie internetowej. Według osoby, która podatność odkryła, luka w tej wtyczce mogła umożliwić atakującym przejęcie kontroli nad sklepem internetowym i dać dostęp do poufnych informacji klientów, takich jak imiona, nazwiska, adresy email i numery kart kredytowych.
Odkrycie luki zostało zgłoszone producentowi. Ze względu na popularność wtyczki, WooCommerce postanowił poczekać z podaniem szczegółów na temat podatności do publicznej wiadomości, do 20 kwietnia 2023 r.
Luka została odkryta w ramach testów white-hat przez Michael-a Mazzolini. Sam błąd i sposób jego wykorzystania jest tajny, ale po samym ogłoszeniu takiej podatności inne grupy zajmujące się wykorzystywaniem błędów mają wskazówkę, gdzie takiej podatności można szukać.
Zajmowaliśmy się dwoma podejrzanymi włamaniami do systemu WordPress, obydwa budowane na wtyczce WooCommerce. Na obydwu powstały dodatkowe konta z prawami administratora.
W naszym przypadku, wektory wejścia do systemu mogły być dwa, poprzez REST API, lub właśnie poprzez wtyczkę WooCommerce Payments.
Radzimy jak najszybsze zaktualizowanie oprogramowania sklepów opartych na WordPress do najnowszych wersji. Mimo, że Proof Of Concept zostanie opublikowany dopiero 20 kwietnia, nie znaczy, że do tego dnia, nie zostanie znaleziony przez inne osoby zajmujące się nie-bezpieczeństwem systemu WordPress.
Brak aktualizacji może spowodować utratę kontroli nad sklepem, wyciek bazy danych i przede wszystkim utratę zaufania klientów.