Cyberthreat.id - Celah keamanan kritis telah diungkapkan di plugin WordPress "Abandoned Cart Lite for WooCommerce" yang diinstal di lebih dari 30.000 situs web.

"Kerentanan ini memungkinkan penyerang untuk mendapatkan akses ke akun pengguna yang telah meninggalkan carts mereka, yang biasanya adalah pelanggan tetapi dapat meluas ke pengguna tingkat tinggi lainnya ketika kondisi yang tepat terpenuhi," kata Defiant's Wordfence sebagaimana dikutip The Hacker News.

Dilacak sebagai CVE-2023-2986, menurut The Hacker News, kekurangan tersebut diberi peringkat 9,8 dari 10 untuk tingkat keparahan pada sistem penilaian CVSS. Ini memengaruhi semua versi plugin, termasuk dan sebelum versi 5.14.2.

Masalahnya, pada intinya, adalah kasus bypass otentikasi yang muncul sebagai akibat dari perlindungan enkripsi yang tidak memadai yang diterapkan saat pelanggan diberi tahu saat mereka meninggalkan keranjang belanja mereka di situs e-niaga tanpa menyelesaikan pembelian.

Secara khusus, kunci enkripsi dikodekan dalam plugin, sehingga memungkinkan aktor jahat untuk masuk sebagai pengguna dengan keranjang yang ditinggalkan.

"Namun, ada kemungkinan bahwa dengan mengeksploitasi kerentanan bypass otentikasi, penyerang dapat memperoleh akses ke akun pengguna administratif, atau akun pengguna tingkat tinggi lainnya jika mereka telah menguji fungsi keranjang yang ditinggalkan," kata peneliti keamanan István Márton kepada The Hacker News.

Menyusul pengungkapan yang bertanggung jawab pada 30 Mei 2023, kerentanan telah diatasi oleh pengembang plugin, Tyche Softwares, pada 6 Juni 2023, dengan versi 5.15.0. Versi Abandoned Cart Lite for WooCommerce saat ini adalah 5.15.2.

Pengungkapan tersebut muncul saat Wordfence mengungkapkan kelemahan bypass autentikasi lain yang memengaruhi plugin "Kalender Pemesanan | Pemesanan Janji | BookIt" StylemixThemes (CVE-2023-2834, skor CVSS: 9,8) yang memiliki lebih dari 10.000 pemasangan WordPress.

"Ini karena verifikasi yang tidak memadai pada pengguna yang diberikan selama pemesanan janji temu melalui plugin," jelas Márton. "Ini memungkinkan penyerang yang tidak diautentikasi untuk masuk sebagai pengguna yang ada di situs, seperti administrator, jika mereka memiliki akses ke email."

Cacat, yang memengaruhi versi 2.3.7 dan sebelumnya, telah diatasi di versi 2.3.8, yang dirilis pada 13 Juni 2023.[]