Πολλαπλές ευπάθειες ανακαλύφθηκαν στο TheCartPress WordPress plugin από την Hich Tech Bridge Security Research Lab.
Οι τρύπες αυτές μπορούν να χρησιμοποιηθούν για την εκτέλεση αυθαίρετου κώδικα PHP, αποκαλύπτοντας ευαίσθητα δεδομένα, παρέχοντας ακατάλληλο έλεγχο πρόσβασης, καθώς και για εκτέλεση Cross-Site scripting επιθέσεων σε βάρος χρηστών!
Για να γίνει exploit στην τοπική ευπάθεια PHP File Inclusion, ο επιτιθέμενος θα πρέπει να έχει δικαιώματα διαχειριστή στην εγκατάσταση του WordPress. Το PHP δεν ελέγχει σωστά την διεύθυνση URL προτού αυτή χρησιμοποιηθεί σε λειτουργία ‘include()’, έτσι μπορεί να γίνει κατάχρηση ώστε να συμπεριλάβει αυθαίρετα τοπικά αρχεία μέσω των ακολουθιών του καταλόγου διάσχισης (directory traversal sequences).
Οι παραμέτροι HTTP POST παρέχονται από πολλούς χρήστες κατά την διάρκεια της διαδικασίας checkout. Αυτές λοιπόν οι παραμέτροι δεν «απολυμαίνονται» προτού αποθηκευτούν στην τοπική βάση δεδομένων, κι αυτή μπορεί εύκολα να παραβιαστεί από έναν non-authenticated επιτιθέμενο, μπορεί να εισάγει κακόβουλο HTML και κώδικα JS ο οποίος θα αποθηκευτεί στην database της εφαρμογής στην ακόλουθη URL:
http://word press/wp-admin/admin-ajax.php?order_id=[order_id]&action=tcp_print_or der
Λόγω του σπασμένου μηχανισμού ταυτοποίησης, κάθε non -authenticated χρήστης μπορεί να κάνει browse εντολών άλλω χρηστών. Πολύ εύκολα αναπαράγουν την εντολή ID, που επιτρέπει να κλέψουν όλες τις υπάρχουσες εντολές.
Η ευπάθεια μπορεί να αναπαραχθεί ανοίγοντας το ακόλουθο URL:
http://word press/shopping–cart/checkout/?tcp_checkout=ok&order_id=[order_id]
Και οι πλήρεις πληροφορίες των εντολών μπορούν να εμφανιστούν στο ακόλουθο URL:
http://word press/wp-admin/admin-ajax.php?order_id=[order_id]&action=tcp_print_or der
Τα inputs μπορούν να ξεπεραστούν μέσω των παραμέτρων GET “search_by“, “address_id“, “address_name“, “firstname“, “lastname“, “street“, “city“, “postcode“, “e-mail“, “post_id” και “rel_type”, και “post_type“. Τα παραπάνω δεν έχουν επαληθευτεί σωστά προτού επιστραφούν στο χρήστη κι έτσι ο επιτιθέμενος μπορεί να συνδεθεί ως διαχειριστής, να ανοίξει ένα link, και να εκτελέσει αυθαίρετο HTML και script code στο browser στο πλαίσιο του ευάλωτου site.