Vulnerabilidades en los complementos WooCommerce y Dokan Pro

Fallo de seguridad XSS encontrado en WooCommerce y vulnerabilidad crítica calificada 10/10 en el complemento Dokan Pro WooCommerce

WooCommerce publicó un aviso sobre una vulnerabilidad XSS mientras que Wordfence informó simultáneamente sobre una vulnerabilidad crítica en un complemento de WooCommerce llamado Dokan Pro El aviso sobre Dokan Pro advirtió que una vulnerabilidad de inyección SQL permite a atacantes no autenticados extraer información confidencial de la base de datos de un sitio web.

La versión Dokan Lite no se ve afectada

Wordfence ha indicado a SEJ que la versión gratuita del complemento, Dokan Lite, no se ve afectada.

Complemento Dokan Pro para WordPress

El complemento Dokan Pro permite al usuario transformar su sitio web WooCommerce en un mercado de múltiples proveedores similar a sitios como Amazon y Etsy. Actualmente tiene más de 50.000 instalaciones. Las versiones del complemento hasta la 3.10.3 inclusive son vulnerables.

Según WordFence, la versión 3.11.0 representa la versión más segura y completamente parcheada.

WordPress.org enumera el número actual de instalaciones de complementos de la versión lite en más de 50.000 y un número total histórico de instalaciones de más de 3 millones. En este momento sólo el 30,6% de las instalaciones utilizaban la versión más actualizada, la 3.11.

Esta vulnerabilidad no afecta a Dokan Lite, estas estadísticas solo muestran cuál es la distribución de la versión Lite y pueden indicar o no cuál es la distribución de la versión Dokan Pro.

Captura de pantalla de las estadísticas de descarga del complemento Dokan Lite

El registro de cambios no muestra el parche de vulnerabilidad

El registro de cambios es lo que les dice a los usuarios de un complemento lo que contiene una actualización. La mayoría de los creadores de complementos y temas publicarán un aviso claro de que una actualización contiene un parche de vulnerabilidad. Según Wordfence, la vulnerabilidad afecta a versiones hasta la versión 3.10.3 incluida. Pero la notación del registro de cambios para la versión 3.10.4 que se lanzó el 25 de abril de 2024 (que se supone que está parcheada) no muestra que haya un parche. Es posible que el editor de Dokan Pro no quisiera alertar a los piratas informáticos sobre la vulnerabilidad crítica.

Captura de pantalla del registro de cambios de Dokan Pro

Puntuación CVSS 10

El Sistema Común de Puntuación de Vulnerabilidad (CVSS) es un estándar abierto para asignar una puntuación que representa la gravedad de una vulnerabilidad. La puntuación de gravedad se basa en qué tan explotable es, su impacto, además de métricas complementarias como seguridad y urgencia que juntas suman una puntuación total desde la menos grave (1) hasta la más alta (10).

El complemento Dokan Pro recibió una puntuación CVSS de 10, el nivel de gravedad más alto, lo que significa que se recomienda a cualquier usuario del complemento que tome medidas inmediatas.

Captura de pantalla de la puntuación de gravedad de la vulnerabilidad de Dokan Pro

Descripción de la vulnerabilidad

Se descubrió que Dokan Pro contenía una vulnerabilidad de inyección SQL no autenticada Hay vulnerabilidades autenticadas y no autenticadas No autenticado significa que un atacante no necesita adquirir credenciales de usuario para lanzar un ataque. Entre los dos tipos de vulnerabilidades, la no autenticada es el peor de los casos.

Una vulnerabilidad de inyección SQL de WordPress es aquella en la que un complemento o tema permite a un atacante manipular la base de datos. La base de datos es el corazón de cada sitio web de WordPress, donde se almacenan todas las contraseñas, nombres de inicio de sesión, publicaciones, temas y datos de complementos. Una vulnerabilidad que permite a cualquiera manipular la base de datos es considerablemente grave; esto es realmente malo.

Así lo describe Wordfence:

“The Dokan Pro plugin for WordPress is vulnerable to SQL Injection via the ‘code’ parameter in all versions up to, and including, 3.10.3 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.”

“El complemento Dokan Pro para WordPress es vulnerable a la inyección SQL a través del parámetro ‘código’ en todas las versiones hasta la 3.10.3 inclusive debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos”.

Acción recomendada para usuarios de Dokan Pro

Se recomienda a los usuarios del complemento Dokan Pro que consideren actualizar sus sitios lo antes posible. Siempre es prudente probar las actualizaciones antes de cargarlas en vivo en un sitio web. Pero debido a la gravedad de esta vulnerabilidad, los usuarios deberían considerar acelerar esta actualización.

WooCommerce publicó un aviso de una vulnerabilidad que afecta a las versiones 8.8.0 y superiores La vulnerabilidad tiene una calificación de 5.4, que es una amenaza de nivel medio y solo afecta a los usuarios que tienen activada la función Atributo de pedido. Sin embargo, WooCommerce recomienda «enfáticamente» a los usuarios actualizar lo antes posible a la versión más actual (al momento de escribir este artículo), WooCommerce 8.9.3.

Vulnerabilidad de secuencias de comandos entre sitios (XSS) de WooCommerce

El tipo de vulnerabilidad que afecta a WooCommerce se llama Cross Site Scripting (XSS), que es un tipo de vulnerabilidad que depende de que un usuario (como el administrador de una tienda WooCommerce) haga clic en un enlace.

Según WooCommerce:

“This vulnerability could allow for cross-site scripting, a type of attack in which a bad actor manipulates a link to include malicious content (via code such as JavaScript) on a page. This could affect anyone who clicks on the link, including a customer, the merchant, or a store admin.

…We are not aware of any exploits of this vulnerability. The issue was originally found through Automattic’s proactive security research program with HackerOne. Our support teams have received no reports of it being exploited and our engineering team analyses did not reveal it had been exploited.”

“Esta vulnerabilidad podría permitir secuencias de comandos entre sitios, un tipo de ataque en el que un mal actor manipula un enlace para incluir contenido malicioso (a través de código como JavaScript) en una página. Esto podría afectar a cualquiera que haga clic en el enlace, incluido un cliente, el comerciante o el administrador de la tienda.

…No tenemos conocimiento de ningún aprovechamiento de esta vulnerabilidad. El problema se encontró originalmente a través del programa de investigación de seguridad proactiva de Automattic con HackerOne. Nuestros equipos de soporte no han recibido informes de que haya sido explotado y los análisis de nuestro equipo de ingeniería no revelaron que hubiera sido explotado”.

¿Deberían los servidores web ser más proactivos?

Desarrollador web y experto en marketing de búsqueda Adam J. Humphreys, de hacer 8, inc. (perfil de LinkedIn), considera que los servidores web deberían ser más proactivos a la hora de parchear vulnerabilidades críticas, aunque eso pueda hacer que algunos sitios pierdan funcionalidad si hay un conflicto con algún otro complemento o tema en uso. LinkedIn profile

Adán observó:

“The deeper issue is the fact that WordPress remains without auto updates and a constant vulnerability which is the illusion their sites are safe. Most core updates are not performed by hosts and almost every single host doesn’t perform any plugin updates even if they do them until a core update is performed. Then there is the fact most premium plugin updates will often not perform automatically. Many of which contain critical security patches.”

“El problema más profundo es el hecho de que WordPress sigue sin actualizaciones automáticas y con una vulnerabilidad constante que es la ilusión de que sus sitios son seguros. La mayoría de las actualizaciones principales no las realizan los hosts y casi todos los hosts no realizan ninguna actualización de complementos, incluso si las hacen hasta que se realiza una actualización principal. Luego está el hecho de que la mayoría de las actualizaciones de complementos premium a menudo no se realizan automáticamente. Muchos de los cuales contienen parches de seguridad críticos”.

Le pregunté si se refería a una actualización automática, en la que se fuerza una actualización en un sitio web.

“Correct, many hosts will not perform updates until a WordPress core update, Softaculous (a WordPress auto installer) engineers confirmed this for me. WPEngine which claims fully managed updates doesn’t do it on the frequency to patch in a timely fashion for said plugins. WordPress without ongoing management is a vulnerability and yet half of all websites are made with it. This is an oversight by WordPress that should be addressed, in my opinion.”

“Correcto, muchos hosts no realizarán actualizaciones hasta una actualización central de WordPress, los ingenieros de Softaculous (un instalador automático de WordPress) me confirmaron esto. WPEngine, que afirma que las actualizaciones están totalmente administradas, no lo hace con la frecuencia para parchear de manera oportuna dichos complementos. WordPress sin una gestión continua es una vulnerabilidad y, sin embargo, la mitad de todos los sitios web se crean con él En mi opinión, este es un descuido de WordPress que debería abordarse”.

Lea más en Wordfence:

Dokan Pro <= 3.10.3 – Inyección SQL no autenticada Dokan Pro <= 3.10.3 – Unauthenticated SQL Injection

Lea la documentación oficial sobre vulnerabilidades de WooCommerce:

WooCommerce actualizado para abordar la vulnerabilidad de secuencias de comandos entre sitios WooCommerce Updated to Address Cross-site Scripting Vulnerability

Imagen destacada de Shutterstock/New Africa

Leer el articulo original en Search Engine Journal.

¡Danos un Voto!

¿Tienes una pregunta?

Luis Narciso
Sobre SEO
(Posicionamiento Web)

Frank Fajardo
Sobre Diseño Web, Anuncios, Diseño y Redes Sociales