0
0
O aplicativo do carrinho de compras contém um bug de injeção de objeto PHP.
Uma vulnerabilidade de segurança no plugin welcart e-Commerce abre sites para injeção de código. Isso pode levar à instalação de skimmers de pagamento, queda do local ou recuperação de informações por injeção SQL, disseram os pesquisadores.
O Welcart e-Commerce é um plugin gratuito wordpress que tem mais de 20.000 instalações – ele desfruta da maior participação de mercado no Japão, de acordo com o WordPress. Ele permite que os proprietários de sites adicionem compras online aos seus sites de forma chave, com opções para vender merch físico, bens digitais e assinaturas, com 16 opções de pagamento diferentes.
O bug de alta gravidade (CVE está pendente) é uma vulnerabilidade de injeção de objeto PHP, que existe na maneira como a plataforma lida com cookies, de acordo com o Wordfence.
“Ele usa seus próprios cookies, separados dos usados pelo WordPress, a fim de rastrear as sessões do usuário”, explicaram os pesquisadores em uma postagem na quinta-feira sobre a vulnerabilidade. “Cada solicitação ao site resulta no usces_cookie sendo analisada pela função get_cookie. Esta função usada usces_unserialize para decodificar o conteúdo deste cookie.”
Olhando mais de perto, os pesquisadores descobriram que é possível enviar uma solicitação com o parâmetro usces_cookie definido para uma corda especialmente trabalhada que, uma vez não serizada, injetaria um objeto PHP.
A injeção de objeto PHP é uma vulnerabilidade de nível de aplicação que abre caminho para injeção de código, injeção SQL, travessia de caminhos e negação de aplicativos.
“A vulnerabilidade ocorre quando a entrada fornecida pelo usuário não é adequadamente higienizada antes de ser passada para a função PHP não-serializada”, de acordo com a OSWAP. “Uma vez que o PHP permite a serialização de objetos, os atacantes podem passar strings serializadas ad-hoc para uma chamada vulnerável sem seerialize() resultando em uma injeção arbitrária de objeto PHP no escopo do aplicativo.”
As injeções de objeto PHP podem ser usadas frequentemente em uma cadeia de exploração maior que permite que um invasor faça uso do que são conhecidos como métodos mágicos, acrescentaram os pesquisadores – o que permitiria a execução remota de código e a aquisição completa do local. Felizmente, esse não é o caso aqui.
“Este plugin incluiu uma biblioteca, tcpdf, que contém um método mágico __destruct que poderia ter sido usado para criar uma cadeia POP sob outras circunstâncias”, de acordo com o Wordfence. “Uma cadeia POP completa não estava presente porque o plugin não se tornou o cookie antes da classe TCPDF ser carregada e definida, então não foi possível injetar um objeto com essa classe.”
O editor do plugin, Collne Inc., corrigiu o problema na versão 1.9.36 da Welcart, lançada em outubro. Os administradores do site devem atualizar assim que puderem.
Problemas de plug-in
Os plugins wordpress continuam a fornecer uma avenida conveniente para atacar cibercriminosos.
Em outubro, duas vulnerabilidades de alta gravidade foram divulgadas no Post Grid, um plugin wordpress com mais de 60.000 instalações, que abrem as portas para as aquisições do local. E em setembro, uma falha de alta gravidade no plugin de assinantes e boletins informativos por Icegram foi encontrada para afetar mais de 100.000 sites wordpress.
Mais cedo, em agosto,um plugin projetado para adicionar quizzes e pesquisas aos sites do WordPress corrigiu duas vulnerabilidades críticas. As falhas podem ser exploradas por invasores remotos e não autenticados para lançar ataques variados – incluindo assumir totalmente sites vulneráveis. Também em agosto, Newsletter, um plugin WordPress com mais de 300.000 instalações, foi descoberto ter um par de vulnerabilidades que poderiam levar à execução de códigos e até mesmo à aquisição do local.
E, pesquisadores em julho alertaram para uma vulnerabilidade crítica em um plugin wordpress chamado Comments – wpDiscuz, que está instalado em mais de 70.000 sites. A falha deu aos invasores não autenticados a capacidade de carregar arquivos arbitrários (incluindo arquivos PHP) e, finalmente, executar código remoto em servidores de sites vulneráveis.
FONTE: THREATPOST