ISGroup Cybersicherheitsberatung

Nicht authentifizierte SQL-Injection im Plugin “Multiple Shipping Address” für WooCommerce (vor Version 2.0)

Eine kritische Sicherheitslücke wurde im Plugin Multiple Shipping Address for WooCommerce entdeckt, einem Tool, das von Online-Shops zur Verwaltung von Lieferungen an mehrere Zieladressen verwendet wird. Diese Schwachstelle könnte es Angreifern ermöglichen, die Datenbank der Website ohne Authentifizierung zu manipulieren, wodurch sensible Informationen offengelegt oder verändert werden könnten.

Produktmultiple-shipping-address-woocommerce
Datum30.05.2025 13:17:43
Informationen
  • Trending
  • Fix verfügbar

Technische Zusammenfassung

In den Plugin-Versionen vor 2.0 wurden verschiedene Parameter der AJAX-Endpunkte nicht korrekt bereinigt (sanitized) oder maskiert (escaped), bevor sie in SQL-Abfragen eingebettet wurden. Insbesondere der Endpunkt action=ocwma_choice_address ist anfällig und auch für nicht authentifizierte Benutzer zugänglich. Dies öffnet die Tür für nicht authentifizierte SQL-Injection-Angriffe (SQLi).

Ein Angreifer kann eine bösartige POST-Anfrage an /wp-admin/admin-ajax.php mit einem Payload wie dem folgenden erstellen:

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: [target]
Content-Type: application/x-www-form-urlencoded

action=ocwma_choice_address&sid=3+AND+(SELECT+1946+FROM+(SELECT(SLEEP(7)))zsme)

Dies führt zu einer 7-sekündigen Verzögerung im Backend, was das Vorhandensein einer zeitbasierten Blind-SQL-Injection beweist. Die Schwachstelle ist als CWE-89 (Unzureichende Neutralisierung spezieller Elemente in einem SQL-Befehl) klassifiziert und erhält einen Score von 8.6 (Hoch) auf der CVSS 3.1-Skala, aufgrund der fehlenden Authentifizierung, der geringen Komplexität und der hohen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Empfehlungen

  • Sofortiges Update: Aktualisieren Sie das Plugin Multiple Shipping Address Woocommerce auf die Version 2.0 oder höher, in der das Problem behoben wurde.

  • Zugriff einschränken: Deaktivieren Sie nach Möglichkeit vorübergehend AJAX-Aktionen für nicht authentifizierte Benutzer.

  • Überwachung und Auditierung: Überprüfen Sie die Protokolle auf ungewöhnliche Aktivitäten bei AJAX-Anfragen, insbesondere in Bezug auf admin-ajax.php.

  • Web Application Firewall (WAF): Aktivieren oder konfigurieren Sie eine WAF, um SQL-Injection-Versuche zu erkennen und zu blockieren.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *