Bu sefer kusur, sitenin tamamını ele geçirmeye izin veren TI WooCommerce İstek eklentisinde ortaya çıktı.

NinTechNet‘ten araştırmacılar, WordPress için TI WooCommerce Wishlist eklentisinde ciddi bir güvenlik açığı buldular. Güvenlik açığından yararlanmak, bir saldırganın hedef web sitesini ele geçirmesine olanak verebilir.

Güvenlik açığı, özellikle eklentinin içe / dışa aktarma ayarlarında bulunur. Araştırmacıların blog gönderisinde açıklandığı gibi,

Eklenti, WordPress “admin_action_” ile yüklenen “ti-woocommerce-wishlist / includes / export.class.php” komut dosyasında, kimliği doğrulanmış bir kullanıcının içeriğini değiştirmesine izin veren bir içe aktarma işlevine sahiptir.

Böylece, bir saldırgan kolayca bir hesap açabilir ve rolünü yönetici olarak değiştirebilir. Bundan sonra, saldırgan yalnızca siteye erişim sağlamakla kalmaz, aynı zamanda sitenin trafiğini kötü amaçlı bir web sitesine yönlendirebilir.

Araştırmacılara göre, WooCommerce yönetici olmayan kullanıcıların varsayılan olarak WordPress yönetici panosuna girmesini engelliyor.

Eklenti sürümü 1.21.11 veya daha düşük olan tüm kullanıcıları, hatanın aktif olarak kullanılması konusunda uyardılar.

Eklenti geliştiricileri, TI WooComerce Wishlist eklentisi sürüm 1.21.12‘nin yayınlanmasıyla kusurları kapattılar . Bu nedenle, tüm kullanıcılar sitelerini en son eklenti sürümüne güncellediğinden emin olmalıdır.