Ελαττώματα που επηρεάζουν το Fancy Product Designer στο WordPress

Το Premium plugin WordPress Fancy Product Designer από τη Radykal είναι ευάλωτο σε δύο κρίσιμα ελαττώματα σοβαρότητας που παραμένουν αδιόρθωτα στην τρέχουσα τελευταία έκδοση.

Με περισσότερες από 20.000 πωλήσεις, το πρόσθετο επιτρέπει την προσαρμογή των σχεδίων προϊόντων (π.χ. ρούχα, κούπες, θήκες τηλεφώνου) σε ιστότοπους WooCommerce αλλάζοντας χρώματα, μετασχηματίζοντας κείμενο ή τροποποιώντας το μέγεθος.

Κατά την εξέταση της προσθήκης, ο Rafie Muhammad του Patchstack ανακάλυψε στις 17 Μαρτίου 2024 ότι το πρόσθετο ήταν ευάλωτο στα ακόλουθα δύο κρίσιμα ελαττώματα:

• CVE-2024-51919 (Βαθμολογία CVSS: 9.0): Μη επαληθευμένη ευπάθεια αυθαίρετης μεταφόρτωσης αρχείων που προκαλείται από ανασφαλή εφαρμογή των συναρτήσεων μεταφόρτωσης αρχείων «save_remote_file» και «fpd_admin_copy_file», που δεν επικυρώνουν ή περιορίζουν σωστά τους τύπους αρχείων. Οι εισβολείς μπορούν να το εκμεταλλευτούν παρέχοντας μια απομακρυσμένη διεύθυνση URL για τη μεταφόρτωση κακόβουλων αρχείων, επιτυγχάνοντας απομακρυσμένη εκτέλεση κώδικα (RCE).
• CVE-2024-51818 (Βαθμολογία CVSS: 9.3): Ελάττωμα έγχυσης SQL χωρίς έλεγχο ταυτότητας που προκαλείται από ακατάλληλη απολύμανση των εισόδων χρήστη λόγω της χρήσης ανεπαρκών “strip_tags”. Η είσοδος που παρέχεται από τον χρήστη ενσωματώνεται απευθείας σε ερωτήματα της βάσης δεδομένων χωρίς κατάλληλη επικύρωση, οδηγώντας ενδεχομένως σε παραβίαση της βάσης δεδομένων, ανάκτηση δεδομένων, τροποποίηση και διαγραφή.

Παρά το γεγονός ότι το Patchstack ειδοποίησε τον πωλητή για τα ζητήματα μια μέρα μετά την ανακάλυψή τους, ο Radykal δεν απάντησε ποτέ.

Στις 6 Ιανουαρίου, το Patchstack πρόσθεσε τα ελαττώματα στη βάση δεδομένων του και σήμερα δημοσίευσε μια ανάρτηση ιστολογίου για να προειδοποιήσει τους χρήστες και να ευαισθητοποιήσει σχετικά με τους κινδύνους.

Ακόμη και μετά την κυκλοφορία 20 νέων εκδόσεων, με την τελευταία να είναι η 6.4.3, που κυκλοφόρησε πριν από 2 μήνες, τα δύο κρίσιμα ζητήματα ασφαλείας παραμένουν χωρίς επιδιόρθωση, λέει ο Muhammad.

Εγγραφή του Patchstack παρέχει επαρκείς τεχνικές πληροφορίες για τους εισβολείς ώστε να δημιουργήσουν εκμεταλλεύσεις και να αρχίσουν να στοχεύουν καταστήματα ιστού που χρησιμοποιούν το πρόσθετο Fancy Product Designer της Radykal.

Ως γενική σύσταση, οι διαχειριστές θα πρέπει να αποτρέπουν τις αυθαίρετες μεταφορτώσεις αρχείων δημιουργώντας μια επιτρεπόμενη λίστα με ασφαλείς επεκτάσεις αρχείων. Επιπλέον, το Patchstack συνιστά την προστασία από την ένεση SQL απολυμαίνοντας την είσοδο του χρήστη για ένα ερώτημα κάνοντας ασφαλή διαφυγή και μορφοποίηση.

Η BleepingComputer επικοινώνησε με τη Radycal για να τους ρωτήσει αν σκοπεύουν να κυκλοφορήσουν μια ενημέρωση ασφαλείας σύντομα, αλλά ένα σχόλιο δεν ήταν άμεσα διαθέσιμο.