Co umożliwia wtyczka Fancy Product Designer?
Fancy Product Designer to płatna wtyczka firmy Radykal, używana przez ponad 20 tysięcy sklepów internetowych opartych na WooCommerce. Umożliwia klientom personalizację produktów takich jak ubrania, kubki czy etui na telefony poprzez modyfikowanie kolorów, dodawanie tekstów i zmianę ich rozmiarów. Funkcjonalność ta sprawia, że wtyczka jest atrakcyjna dla wielu sprzedawców internetowych, którzy chcą zaoferować swoim klientom unikalne doświadczenia zakupowe.
Jednak wtyczka ta posiada poważne braki w zabezpieczeniach, które mogą zostać wykorzystane przez osoby atakujące w celu przejęcia kontroli nad stroną internetową.
Dwie krytyczne luki w zabezpieczeniach
Już 17 marca 2024 roku zidentyfikowano dwie poważne podatności we wtyczce Fancy Product Designer. Wady te zyskały identyfikatory CVE-2024-51919 oraz CVE-2024-51818.
CVE-2024-51919 – nieuwierzytelnione przesyłanie plików (CVSS: 9.0): Luka ta pozwala atakującym na przesyłanie dowolnych plików na serwer, co może prowadzić do zdalnego wykonania złośliwego kodu (RCE). Problem wynika z nieodpowiedniego zabezpieczenia funkcji "save_remote_file" i "fpd_admin_copy_file", które nie sprawdzają, czy przesyłane pliki mają bezpieczne rozszerzenia. Osoba atakująca może podać zdalny adres URL, co pozwala na wgranie złośliwego pliku na serwer.
CVE-2024-51818 – wdrożeniekodu SQL (CVSS: 9.3): Ta luka umożliwia atakującym wykonanie wstrzyknięcia kodu SQL poprzez nieuwierzytelnione dane wejściowe użytkownika. Wtyczka nieprawidłowo filtruje dane, co pozwala na manipulację zapytaniami do bazy danych. Osoby atakujące mogą uzyskać dostęp do poufnych informacji, modyfikować dane lub nawet usunąć całą bazę danych.
Brak reakcji ze strony producenta
Od czasu zgłoszenia luk, firma Radykal wypuściła 20 aktualizacji wtyczki, jednak krytyczne podatności nadal nie zostały usunięte. Ostatnia wersja Fancy Product Designer, oznaczona jako 6.4.3, została opublikowana dwa miesiące temu, ale według Patchstack luki nadal są obecne.
Zalecenia dla administratorów stron
Opublikowany przez Patchstack wpis na blogu zawiera szczegółowe informacje techniczne dotyczące wykrytych podatności. Firma ostrzega, że informacje te mogą zostać wykorzystane przez osoby atakujące do stworzenia exploitów i przeprowadzenia ataków na sklepy internetowe korzystające z wtyczki Fancy Product Designer.
Aby zminimalizować ryzyko ataków, Patchstack zaleca administratorom stron podjęcie odpowiednich środków ostrożności. Przede wszystkim powinni oni zablokować możliwość przesyłania plików o nieznanych rozszerzeniach, tworząc listę akceptowanych typów plików. Dodatkowo, w celu ochrony przed atakami typu SQL injection, należy stosować odpowiednie filtrowanie danych wejściowych użytkownika oraz zabezpieczać zapytania do bazy danych za pomocą technik bezpiecznego formatowania i ucieczki danych.
Administratorzy stron internetowych powinni także regularnie monitorować nowe wersje wtyczek i natychmiast wdrażać dostępne aktualizacje bezpieczeństwa. W przypadku braku odpowiedzi ze strony producenta, dobrym rozwiązaniem może być rozważenie rezygnacji z używania wtyczki i poszukanie alternatywnego rozwiązania.
Fancy Product Designer to przykład, jak brak odpowiednich zabezpieczeń może narazić sklepy internetowe na poważne zagrożenia. Dlatego warto pamiętać o zasadach cyberbezpieczeństwa i podejmować działania prewencyjne, zanim dojdzie do potencjalnego incydentu.
