Falla crítica de WooCommerce afecta a más de 500.000 sitios de WordPress

Qué es WooCommers

Es un plugin de WordPress de código abierto que se utiliza masivamente para la creación de tiendas virtuales y que al ser gratuito, es muy utilizado por las empresas que se dedican a la venta de productos o servicios para administrar su e-commerce y por ende existe alto interes de parte de ciberactores para poder acceder a esta información.

Este plugin fue desarrollado por los programadores Mike Jolley y James Koster en el año 2011. Después de 4 años, fue vendido a WordPress y, actualmente, posee el 26% de todas las tiendas virtuales en el mundo.

Una de las grandes características que lo hace tan popular, es su integración con las más variadas formas de pago, tales como:

• Tarjeta de crédito.
• Tarjeta de débito.
• Transferencia electrónica.
• Pago Seguro.
• Mercado Pago.
• PayPal
• Otros.

Avisos de seguridad

El día 23 de marzo, la compañía WordPress emitió uno de varios avisos que han sido informados este último mes, detallando que las versiones afectadas son las siguientes desde la 4.8.0 hasta la 5.6.1., a continuación se muestra un compilado de las vulnerabilidades más importantes informadas durante marzo 2023. 

CVE-2022-4328 [CVSS: 9.8]

El complemento de WordPress WooCommerce Checkout Field Manager anterior a 18.0 no valida los archivos que se cargarán, lo que podría permitir que atacantes no autenticados carguen archivos arbitrarios como PHP en el servidor.

CVE-2023-0865 [CVSS: 8.8]

El complemento WooCommerce Multiple Customer Addresses & Shipping WordPress anterior a 21.7 no garantiza que la dirección para agregar/actualizar/recuperar/eliminar y duplicar pertenezca al usuario que realiza la solicitud, o sea de un usuario con privilegios elevados, lo que permite que cualquier usuario autenticado, como suscriptor para agregar/actualizar/duplicar/eliminar, así como recuperar direcciones de otros usuarios.

CVE-2022-47154 [CVSS: 8.8]

Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en Pi Websolution CSS JS Manager, Async JavaScript, Defer Render Blocking CSS es compatible con el complemento WooCommerce <= versiones 2.4.49.

CVE-2022-45068 [CVSS: 5.4]

Vulnerabilidad Cross-Site Request Forgery (CSRF) en Mercado Pago, para el complemento WooCommerce <= 6.3.1.

CVE-2022-47173 [CVSS: 5.9]

Aut. (admin+) Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en nasirahmed Connect Contact Form 7, WooCommerce To Google Sheets y otras plataformas: complemento de integración de formulario avanzado <= versiones 1.62.0.

CVE-2022-47589 [CVSS: 5.9]

Aut. (admin+) Vulnerabilidad de Cross-Site Scripting (XSS) almacenada en este complemento CTT Expresso funcional para WooCommerce <= versiones 3.2.11.

CVE-2023-28422 [CVSS: 5.9]

Aut. (admin+) Vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas en MagePeople Team Event Manager y complemento de venta de entradas para WooCommerce <= 3.8.6. versiones.

CVE-2022-4661  [CVSS: 5.4]

Los widgets para productos de WooCommerce en el complemento Elementor WordPress anterior a 1.0.8 no validan y escapan algunos de sus atributos de shortcode antes de devolverlos a una página/publicación donde el shortcode está incrustado, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar Ataques de Cross-Site Scripting almacenados.

CVE-2023-0068 [CVSS: 5.4]

El GTIN del producto (EAN, UPC, ISBN) para el complemento WooCommerce WordPress hasta 1.1.1 no valida ni escapa algunos de sus atributos de shortcode antes de mostrarlos en una página/publicación donde el shortcode está incrustado, lo que podría permitir a los usuarios con el contribuyente rol y superior para realizar ataques de secuencias de comandos almacenadas entre sitios.

CVE-2022-47148 [CVSS: 4.3]

Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en WP Overnight PDF Invoices & Packing Slips para el complemento WooCommerce <= 3.2.5 que provoca el cierre de la ventana emergente.

CVE-2022-46806 [CVSS: 4.3]

Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en el complemento VillaTheme Cart All In One para WooCommerce <= 1.1.10 que conduce a la modificación del carrito.

CVE-2022-46805 [CVSS: 5.4]

Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en Lauri Karisola / WP Trio Conditional Shipping para el complemento WooCommerce <= 2.3.1 que conduce a la activación/desactivación de los conjuntos de reglas del complemento.

CVE-2022-46797 [CVSS: 4.3]

La vulnerabilidad Cross-Site Request Forgery (CSRF) en Conversios All-in-one Google Analytics, Pixels y Product Feed Manager para el complemento WooCommerce <= 5.2.3 provoca un cambio en la configuración del complemento.

Explotación de la vulnerabilidad

La empresa de seguridad Wordfence informó que la explotación exitosa de estas vulnerabilidades podría permitir que un ciber actor no autenticado se haga pasar por un administrador y se apodere por completo de un sitio web sin necesidad de interacción del usuario.

Esta vulnerabilidad parece residir en un archivo PHP llamado "class-platform-checkout-session.php", señaló el investigador de Sucuri, Ben Martin .

Ilustración 1: Ruta posiblemente vulnerable.

Ilustración 2: En el historial de cambios del complemento, el archivo y funcionalidad parecen estar eliminados.

Por el momento no hay evidencia de que la vulnerabilidad haya sido explotada activamente, pero se espera que se convierta en un arma a gran escala una vez que esté disponible una prueba de concepto (PoC).

Además de actualizar a la última versión, se recomienda a los usuarios que busquen usuarios administradores recién agregados y, de ser así, cambien todas las contraseñas de administrador y roten las claves de la API de WooCommerce y la pasarela de pago.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Mantener seguimiento y monitoreo continuo de las versiones de los complementos añadidos en su instancia WordPress.
• Revisar registros de usuarios en busca de cuentas con permisos de administrador recientemente creados y en caso de encontrar registros anómalos:
  • Se deben cambiar todas las contraseñas de adminstrador
  • Se deben renovar todas las API Key de Woocomerce y pasarelas de pago asociadas.