Sicherheitslücke WooCommerce

Alle WordPress-Sicherheitslücken monatlich zusammengefasst:

Sicherheitslücke im WordPress-Plugin: WooCommerce

Aktuell wurde eine Sicherheitslücke beim WordPress-Plugin „WooCommerce“ gemeldet. Was zu tun ist, ein paar Details zur Sicherheitslücke und allgemeine Infos zum Plugin findet ihr regelmäßig in unserem Blog — für beliebte Plugins ab 100.000+ aktiven Nutzern.

 

Das WordPress Plugin: WooCommerce

Das beliebte WordPress-Plugin WooCommerce, erweitert das Content-Management-System um die Funktionalität eines Onlineshops. Das Plugin zeichnet sich durch die nahtlose Einbettung der E-Commerce-Funktionen in das WordPress-Framework aus. In 2021 läuft bereits mehr als jeder vierte Online-Shop mit WooCommerce. Von der Top-Million Webshops ist es mit 29% das meistgenutzte Shopsystem. (Quelle: barn2.co.uk) WooCommerce wird aus verschiedenen Gründen auch weiterhin eine herausragende Rolle im Ecommerce spielen.

 

Veröffentlicht am 15.07.2020:

Sicherheitslücke: Authenticated Blind SQL Injection

In den Versionen 3.3 bis 5.5 des WooCommerce Plugins gibt es aktuell eine Schwachstelle. Es wurde berichtet, dass das Plugin von einer kritischen Schwachstelle bei Authenticated Blind SQL Injection betroffen ist.

 

Proof of Concept:

http://www.example.com/wp-json/wc/store/products/collection-data?calculate_attribute_counts[0][taxonomy]=a%252522%252529%252520or%252520sleep%25252810.1%252529%252523

 

Wir empfehlen euch daher das WooCommerce Plugin auf die neueste Version (5.5.1) zu aktualisieren.

Quelle: https://wpscan.com/vulnerability/1212fec8-1fde-41e5-af70-abdd7ffe5379

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 

Veröffentlicht am 21.04.2021:

Sicherheitslücke: Authenticated Stored Cross-Site Scripting (XSS)

Aktuell liegt eine XSS-Sicherheitslücke vor. Wenn die Funktion Steuern aktivieren zur automatischen Kalkulation anhand der Steuersätze aktiviert ist, können privilegierte authentifizierte Nutzer (bspw. Admins) über das Feld Zusätzliche Steuerklassen  aufgrund fehlender Prüfung der Eingabe XSS Payloads einbinden – auch wenn unfiltered_html deaktiviert ist.

Proof of Concept:

Enable taxes (/wp-admin/admin.php?page=wc-settings&tab=general), then put the payload below in the „Additional tax classes“ field (/wp-admin/admin.php?page=wc-settings&tab=tax)

<script>alert(/XSS/)</script>

Wir empfehlen daher, WooCommerce auf die neueste Version (5.2.0) zu aktualisieren.

Quelle: https://wpscan.com/vulnerability/6d262555-7ae4-4e36-add6-4baa34dc3010

 

Du suchst sicheres und schnelles WooCommerce-Hosting?

Bei HostPress enthalten alle Tarife erweiterte Sicherheitsfeatures, Malware Scanner und Firewall um dein WooCommerce sicher zu machen.
Wechsle noch heute zu HostPress – wir ziehen deinen Online Shop kostenlos zu uns um.

Jetzt Tarife & Preise ansehen

 

Veröffentlicht am 06.11.2020:

Sicherheitslücke: Guest Account Creation

In den Versionen 4.5.2 und älter des WooCommerce Plugin gibt es aktuell eine Schwachstelle, die es Gastbenutzern erlaubt, während der Kaufabwicklung Konten zu erstellen, selbst wenn die Einstellung „Kunden erlauben, während der Kaufabwicklung ein Konto zu erstellen“ deaktiviert ist.
Diese Schwachstelle kann von einem Bot ausgenutzt werden, um Spam-Bestellungen aufzugeben und Benutzerkonten zu erstellen, die dann dazu verwendet werden, nach Schwachstellen in anderen Plugins auf der Website zu suchen.
Als Reaktion auf diesen Vorfall veröffentlichte WooCommerce eine neue Version (4.6.2) sowie WooCommerce Blocks (3.7.1), die diese Lücke schließen.

Wir empfehlen euch daher das WooCommerce Plugin auf die neueste Version (4.6.2) zu aktualisieren sowie WooCommerce Blocks auf die neueste Version (3.7.1).

Quellen:
https://wpscan.com/vulnerability/10460
https://wpscan.com/vulnerability/10459

 

Im Rahmen unserer Dienstleistung SecurePlan halten wir deine Plugins, Themes und den Core durch regelmäßige Updates immer auf dem neuesten Stand.

 

Veröffentlicht am 23.06.2020:

Sicherheitslücke: Cross-Site Scripting (XSS) via SelectWoo

Eine detaillierte Dokumentation liegt uns hier nicht vor. Durch Cross-Site-Scripting können bspw. Sessions oder Daten gestohlen werden. In der Folge können unbedarfte Besucher der Seite geschädigt werden, weswegen wir hier wieder zum Einspielen des aktuellen Updates raten.
Diese Sicherheitslücke kann geschlossen werden, indem das Plug-In auf die neueste Version (4.2.1) aktualisiert wird.
Quellen:
https://wpvulndb.com/vulnerabilities/10282
Mehr dazu (Englisch): https://woocommerce.wordpress.com/2020/06/22/woocommerce-4-2-1-security-and-fix-release/

 

WooComemrce Hosting
Die 5 besten Themes für WooCommerce
Beitragsgrafik Listable

 

! Kostenloser Speedtest (CTA-Box) - 04/22 - /blog/

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.

 

 

Veröffentlicht am 07.07.2019:

Sicherheitslücke: Cross-Site Request Forgery (CSRF)

Bei einer CSRF schiebt ein Angreifer einem bereits angemeldeten Nutzer eine HTTP-Anfrage unter. Dadurch kann die angesprochene Webanwendung dazu gebracht werden, eine vom Angreifer gewünschte Aktion durchzuführen.

Wir empfehlen euch deshalb unbedingt auf die neueste Version 3.6.5 zu aktualisieren.
Quelle: https://wpvulndb.com/vulnerabilities/9428

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

Bekannt geworden am 20.02.19:

Sicherheitslücke: Stored Cross-Site Scripting (XSS)

Eine gespeicherte XSS-Schwachstelle wurde in WooCommerce 3.5.4 und älteren Versionen entdeckt. Die Lücke wird durch eine unzureichende Filterung der Bildunterschrift verursacht. Die Sicherheitslücke erlaubt es Benutzern mit dem Contributor Zugriff oder einer höheren Berechtigung beliebiges HTML/Javascript in WooCommerce-Seiten einzufügen, indem es die Bildunterschrift ändert oder eine Bilddatei hochlädt.

Wir empfehlen euch deshalb unbedingt auf die neueste Version 3.5.5 zu aktualisieren.

Bekannt geworden am 13.12.18:

Sicherheitslücke: Authenticated Phar Deserialization

Der Sicherheitsforscher Sam Thomas von Secarma fand eine neue Ausbeutungstechnik, die zu kritischen Schwachstellen in der PHO-Objektinjektion führen kann – ohne die PHP Funktion unserialize() zu verwenden. Die neue Technik wurde auf der BlackHat USA Konferenz in seinem Vortrag IT’s a PHP Unserialization Vulnerability Jim angekündigt, aber nicht, wie wir es kennen. Es kann Angreifern ermöglichen, den Schweregrad von dateibezogenen Schwachstellen bei der Remotecodeausführiung zu erhöhen.

Die neue Technik lässt Hunderttausende von Webanwendungen offen für Angriffe auf die Ausführung von Remote-Code einschließlich Websites, die von einigen gängigen ContentManagement Systemen wie WordPress und Typo3 unterstützt werden.

Bekannt geworden am 10.12.18:

Sicherheitslücke: Authenticated Stored XSS

Die Sicherheitslücke betrifft die Versionen 3.4.5 und älter. Die Sicherheitslücke ermöglicht es ShopManagern bösartige Aktionen durchzuführen. Diese Probleme können von Benutzern mit ShopManager-Funktionen oder höher ausgenutzt werden. Wir empfehlen euch deshalb unbedingt auf die neueste Version 3.4.5 zu aktualisieren.

Bekannt geworden am 07.11.18:

Sicherheitslücke: Authenticated File Deletion to Privilege Escalation

Ein Fehler in der Art und Weise wie WordPress mit Privilegien umgeht, kann zu einer Privilegieneskalation in WordPress-Plugins führen. Diese Sicherheitslücke ermöglicht es Angreifern mit der Benutzerrolle „Shop-Manager“ bestimmte Dateien auf dem Server zu löschen und dann ein beliebiges Administratorkonto zu übernehmen und Code auf dem Server auszuführen. Das Löschen bestimmter Plugin-Dateien in WordPress kann Sicherheitsprüfungen deaktivieren und zu einer vollständigen Übernahme der Webseite führen. Fehler ist ein nicht gepatchter Designfehler im Privilegsystem von WordPress.  Wir empfehlen euch deshalb unbedingt auf die Version 3.4.6. zu aktualisieren.
Quelle: https://wpvulndb.com/vulnerabilities/9143

Bekannt geworden am: 11.10.18:

Sicherheitslücke: Authenticated Object Injection

Die Plugin-Versionen 3.4.5 und niedriger sind von dieser Lücke betroffen. Hierbei ist es der Benutzergruppe „Shop Manager“ möglich Aktionen auszuführen wofür sie normalerweise nicht berechtigt wären. Die Sicherheitslücke wird durch ein Update auf Version 3.4.6 behoben.
Quelle: https://wpvulndb.com/vulnerabilities/9137 

Bekannt geworden am: 30.08.18:

Sicherheitslücke: Potential Object Injection

Die Plugin-Versionen 3.x sind von einer Sicherheitslücke betroffen, bei der Nutzer, die in der Lage sind, Attribute zu editieren, diese Lücke ausnutzen können. Da momentan noch nicht klar ist, ob die Sicherheitslücke auch einen Zugriff auf andere Bereiche des Online-Shops ermöglicht, empfehlen wir daher dringend das Plugin auf die neueste Version: 3.4.5 zu aktualisieren.
Quelle: https://wpvulndb.com/vulnerabilities/9120

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes sowie 55.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.