Een beveiligingslek in een plug-in voor op WordPress gebaseerde webwinkels wordt actief aangevallen om kwetsbare webshops over te nemen. De kwetsbaarheid bevindt zich in de plug-in Abandoned Cart Lite for WooCommerce en werd vorige maand in versie 5.2.0 van de plug-in gepatcht.

WooCommerce is een populaire plug-in voor het opzetten van een op WordPress gebaseerde webwinkel. Via de Abandoned Cart Lite-plug-in kunnen webshops "verlaten" winkelmandjes volgen en klanten vervolgens een e-mail sturen om de transactie toch af te ronden. Een cross-site scripting-kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige JavaScript-code uit te voeren als een ingelogde gebruiker met systeembeheerderrechten de lijst van verlaten winkelmandjes bekijkt. Hierdoor is het mogelijk om de webwinkel over te nemen.

Om de aanval uit te voeren vult een aanvaller zijn winkelmandje met producten en voert vervolgens contactinformatie in die naar kwaadaardige JavaScript-code wijst. Deze code wordt automatisch uitgevoerd bij het bekijken van het verlaten winkelmandje en zorgt ervoor dat er twee backdoors worden geïnstalleerd. Het script maakt een kwaadaardig beheerdersaccount aan en zoekt naar een gedeactiveerde plug-in die van kwaadaardige code wordt voorzien.

Hoewel er een update beschikbaar is worden WordPress-sites nog steeds aangevallen, zo waarschuwt securitybedrijf Wordfence. Beheerders krijgen dan ook het advies om de beveiligingsupdate meteen te installeren mocht dat nog niet zijn gedaan. Abandoned Cart Lite for WooCommerce is door meer dan 20.000 webwinkels geïnstalleerd.