Wordpress är världens mest använda webbpubliceringsverktyg (CMS) och Woocommerce, från leverantören Automattic, är en mycket populär plug-in-modul för dem som vill driva en webbshop på sin blogg eller sajt. Woocommerce har över 4 miljoner aktiva installationer, enligt modulens informationssida på wordpress.org. Tillsammans, med varsin sårbarhet i bagaget, bildar de just nu en brygd som gör att en angripare kan ta över, inte ”bara” webbshoppen, utan hela sajten den ligger på, skriver Bleeping Computer.

När moduler i Wordpress installeras så använder de inte egna system för användarbehörighet, utan ärver behörighetsstrukturen från Wordpress självt. Modulerna skapar sina egna Wordpressanvändare som tilldelas vissa roller inom Wordpress och sen brukas funktioner i modulen för att begränsa hur dessa roller kan interagera med andra roller och konfigurationer i Wordpress.

Enligt en rapport från forskaren Simon Scannell på PHP-säkerhetsföretaget RIPS Tech, skapar Woocommerce vid installation en wordpress-roll som kallas Shop Manager som har privilegiet "edit_users” i Wordpress. edit_users-privilegiet ger den användaren rätt att redigera inställningarna för alla användare i Wordpress inklusive administratörskontot.

Eftersom sajtägare av uppenbara skäl inte tycker att det är ett vettigt privilegium för en modul-roll, har Woocommerce skapat en funktion som hindrar rollen Shop Manager att peta i administratörsrollen. Men om Shop Manager lyckas ta bort Woocommerce-modulen, finns inte funktionen längre kvar.

Sårbarheten i WooCommerce gör att en angripare kan använda funktionen för att rensa loggarna till att rensa i princip vad som helst genom att lägga till ”.." framför sökvägen. Då kan Shop Manager ta bort hela modulen Woocommerce genom att radera filerna, inklusive funktionen som skulle hindra Shop Manager från att redigera administratörsrollen. Bingo!

Sårbarheten fixades den 11 oktober i version 3.4.6, men grundinställningen i Wordpress är att versionsuppdateringar av moduler sker manuellt, så det är högst troligt att många användare ligger kvar på den sårbara version 3.4.5 och bakåt.

Attacker kräver att angriparen har tillgång till Shop Manager-kontot, men lösenord har ju läckte förr, och PHP är inte mest känt för att hålla tätt.

Läs också:
Osäkert PHP 5 ännu osäkrare efter årsskiftet
Wordpress dominerar på nätet - används på 30 procent av alla sajter