يعد المكون الإضافي Premium WordPress Fancy Product Designer من Radykal عرضة لعيبين خطيرين خطيرين لم يتم إصلاحهما في الإصدار الأخير الحالي.
مع أكثر من 20000 عملية بيع، يسمح البرنامج الإضافي بتخصيص تصميمات المنتجات (مثل الملابس والأكواب وحافظات الهاتف) على مواقع WooCommerce عن طريق تغيير الألوان أو تحويل النص أو تعديل الحجم.
أثناء فحص المكون الإضافي، اكتشف رافع محمد من Patchstack في 17 مارس 2024، أن المكون الإضافي كان عرضة للعيوب الحرجة التالية:
- CVE-2024-51919 (درجة CVSS: 9.0): ثغرة أمنية في تحميل الملفات بشكل عشوائي غير مصادق بسبب التنفيذ غير الآمن لوظائف تحميل الملفات “save_remote_file” و”fpd_admin_copy_file”، التي لا تتحقق من صحة أنواع الملفات أو تقيدها بشكل صحيح. يمكن للمهاجمين استغلال ذلك عن طريق توفير عنوان URL بعيد لتحميل الملفات الضارة، وتحقيق تنفيذ التعليمات البرمجية عن بعد (RCE).
- CVE-2024-51818 (درجة CVSS: 9.3): خلل في إدخال SQL غير مصادق عليه بسبب التنظيف غير الصحيح لمدخلات المستخدم بسبب استخدام “strip_tags” غير الكافي. يتم دمج المدخلات التي يقدمها المستخدم مباشرة في استعلامات قاعدة البيانات دون التحقق المناسب، مما قد يؤدي إلى اختراق قاعدة البيانات واسترجاع البيانات وتعديلها وحذفها.
على الرغم من قيام Patchstack بإخطار البائع بالمشكلات بعد يوم من اكتشافها، إلا أن Radykal لم يرد أبدًا.
في 6 يناير، أضافت Patchstack العيوب إلى قاعدة بياناتها، ونشرت اليوم منشورًا على مدونة لتحذير المستخدمين وزيادة الوعي حول المخاطر.
يقول محمد إنه حتى بعد إطلاق 20 إصدارًا جديدًا، آخرها 6.4.3، الذي تم إصداره قبل شهرين، فإن القضيتين الأمنيتين المهمتين لا تزالان دون حل.
كتابة باتشستاك يوفر معلومات فنية كافية للمهاجمين لإنشاء عمليات استغلال والبدء في استهداف متاجر الويب التي تستخدم البرنامج الإضافي Fancy Product Designer من Radykal.
كتوصية عامة، يجب على المسؤولين منع تحميل الملفات التعسفية عن طريق إنشاء قائمة مسموح بها بامتدادات الملفات الآمنة. بالإضافة إلى ذلك، يوصي Patchstack بالحماية من حقن SQL عن طريق تطهير إدخال المستخدم للاستعلام عن طريق إجراء عملية هروب وتنسيق آمنين.
اتصلت BleepingComputer بـ Radycal لسؤالها عما إذا كانت تخطط لإصدار تحديث أمني قريبًا، ولكن لم يكن التعليق متاحًا على الفور.