Op 20 augustus werden er meerdere kwetsbaarheden aangetroffen in de Discount Rules for WooCommerce plugin, die op meer dan 40.000 WordPress websites geïnstalleerd is. Inmiddels is er een update met patch uitgerold. Gebruikers die de plugin nog niet geüpdatet hebben worden dan ook geadviseerd om dit zo snel mogelijk te doen.
Over Discount Rules for WooCommerce
Discount Rules for WooCommerce is een WordPress plugin die fungeert als een add-on voor WooCommerce. Met deze plugin kun je custom regels voor kortingen implementeren, op basis van onder andere producten, categorieën, attributen, gebruikers en aankoopgeschiedenis. Denk bijvoorbeeld aan ‘2 voor de prijs van 1’ kortingen, algemene kortingspercentages en kortingen op basis van het totale bestelbedrag (bestel voor een x bedrag en ontvang 10% korting). De kortingen zijn zichtbaar op de productpagina, in het winkelwagentje, op de check-out pagina en in email notificaties.
Kwetsbaarheden
De kwetsbaarheden in de plugin stellen kwaadwillenden in staat om alle beschikbare coupons op een site te bekijken en kortingsregels te activeren, te dupliceren en te verwijderen. Daarnaast zijn in elk geval twee acties (savepriceRule en saveCartRule) kwetsbaar voor Cross-Site Scripting (XSS) misbruik, wat uiteindelijk zou kunnen leiden tot overname van de website door hackers.
Update
De kwetsbaarheden werden ontdekt door het Threat Intelligence team van Wordfence, dat ontwikkelaar Flycart op de hoogte bracht. Flycart reageerde vrijwel onmiddellijk en kwam op 22 augustus met een interim patch. Op 2 september werd een meer uitgebreide patch opgeleverd, 7 dagen later gevolgd door een patch die de laatste problemen verhielp. We raden iedereen die gebruik maakt van Discount Rules for WooCommerce aan om te updaten naar de fully patched versie van de plugin, versie 2.2.1. Gebruikers van Wordfence Premium hebben reeds een firewall update gekregen die hen beschermt tegen misbruik via de kwetsbaarheden. Degenen die de gratis versie van Wordfence geïnstalleerd hebben, krijgen deze week nog een firewall update.
Het blijft me verbazen hoeveel lekken er in WooCommerce plugins zitten.
WPvulndb.com laat de lekken zien van de afgelopen tijd in WooCommerce plugins, dat zijn er nogal wat: https://wpvulndb.com/search?text=woocommerce
Voordeel is wel dat iedereen er bovenop zit, diverse beveiligingsbedrijven testen de plugins en melden de lekken netjes aan de pluginbouwers die dan direct aan de slag gaan met het beveiligen van de plugin.
Hoe-dan-ook als je deze plugin hebt dus maar eventjes kijken naar de orderhistory 😉