Una vulnerabilità critica è stata individuata nel plugin Multiple Shipping Address for WooCommerce, uno strumento utilizzato dagli shop online per gestire spedizioni verso più destinazioni. Questa falla potrebbe consentire a malintenzionati di manipolare il database del sito senza necessità di autenticazione, esponendo o alterando informazioni sensibili.

Riassunto tecnico

Nelle versioni del plugin precedenti alla 2.0, diversi parametri degli endpoint AJAX non venivano correttamente sanitizzati o eseguiti escaping prima di essere incorporati nelle query SQL. In particolare, l’endpoint action=ocwma_choice_address è vulnerabile ed accessibile anche da utenti non autenticati. Ciò apre la porta ad attacchi di tipo SQL Injection non autenticato (SQLi).

Un attaccante può costruire una richiesta POST malevola verso /wp-admin/admin-ajax.php utilizzando un payload come:

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: [target]
Content-Type: application/x-www-form-urlencoded

action=ocwma_choice_address&sid=3+AND+(SELECT+1946+FROM+(SELECT(SLEEP(7)))zsme)

Questo provoca una pausa di 7 secondi nel backend, dimostrando la presenza di una SQL injection cieca basata su tempo. La vulnerabilità è classificata come CWE-89 (Neutralizzazione impropria di elementi speciali utilizzati in un comando SQL) e riceve un punteggio di 8.6 (Alto) secondo la scala CVSS 3.1, a causa dell’assenza di autenticazione, della bassa complessità e dell’alto impatto su riservatezza, integrità e disponibilità.

Raccomandazioni

• Aggiornare immediatamente: Effettuare l’upgrade del plugin Multiple Shipping Address Woocommerce alla versione 2.0 o successiva, in cui il problema è stato risolto.

• Limitare l’accesso: Disabilitare temporaneamente le azioni AJAX per utenti non autenticati, se possibile.

• Monitoraggio e auditing: Controllare i log per attività anomale su richieste AJAX, in particolare verso admin-ajax.php.

• Web Application Firewall (WAF): Attivare o configurare un WAF per rilevare e bloccare tentativi di SQL injection.