Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
CVE-2023-0865 Mittel · CVSS 6.4 Web

Missing Authorization in WooCommerce Multiple Customer Addresses & Shipping

Veröffentlicht:

Eine fehlende Autorisierung im WooCommerce Multiple Customer Addresses & Shipping Plugin ermöglicht es authentifizierten Angreifern (Subscriber-Rolle und höher), Adressen anderer Kunden zu erstellen, zu ändern und zu löschen.

Betroffene Software

Produkt
WooCommerce Multiple Customer Addresses & Shipping
Betroffene Versionen
< 21.7
Hersteller
Jesweb Development
CVSS-Vektor
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Technische Analyse

Die Schwachstelle betrifft die REST-API-Endpunkte des Plugins zur Verwaltung von Kundenadressdaten. Eine fehlende Berechtigungsprüfung (CWE-862) erlaubt es authentifizierten Nutzern mit minimalsten Rechten (Subscriber), auf Adressdaten beliebiger anderer Kunden zuzugreifen.

Betroffene Funktionalität

Das Plugin stellt AJAX-Endpunkte bereit, über die Adressen verwaltet werden. Die Endpunkte prüfen lediglich, ob der anfragende Nutzer eingeloggt ist - eine Validierung, ob die angeforderte Adresse dem Nutzer gehört, fehlt.

Angriffsvektor

Ein Angreifer mit einem einfachen Subscriber-Account kann durch Manipulation der Adress-ID in API-Anfragen:

  • Lesen: Vollständige Adressdaten anderer Kunden einsehen (Name, Adresse, Telefon)
  • Ändern: Lieferadressen anderer Kunden modifizieren
  • Löschen: Gespeicherte Adressen anderer Kunden entfernen

Auswirkung

  • Vertraulichkeit: Personenbezogene Daten (Adressen, Namen, Telefonnummern) können exfiltriert werden
  • Integrität: Manipulation von Lieferadressen kann zu Warenbetrug führen
  • Verfügbarkeit: Keine direkte Auswirkung

Empfohlene Maßnahmen

  1. Sofort: Update auf Version 21.7 durchführen
  2. Kurzfristig: Prüfen, ob unbefugte Zugriffe auf Adressdaten stattgefunden haben (WooCommerce-Logs)
  3. Langfristig: Regelmäßige Penetrationstests des WooCommerce-Shops durchführen

Wir testen Ihre Web-Applikationen auf genau solche Schwachstellen. Erfahren Sie mehr über unsere Penetrationstests

Responsible Disclosure Timeline

  1. Schwachstelle entdeckt durch AWARE7 Researcher

  2. Hersteller informiert (Responsible Disclosure)

  3. Patch veröffentlicht (Version 21.7)

  4. Advisory veröffentlicht

Empfohlene Gegenmaßnahmen

Update auf Version 21.7 oder höher. Als Workaround kann die Plugin-Funktionalität für nicht-administrative Rollen temporär eingeschränkt werden.

Authorization BypassWordPressWooCommercePlugin

AWARE7 Leistung zum Thema

Schützen Sie Ihre Systeme proaktiv — durch professionelle Sicherheitstests erkennen wir Schwachstellen wie diese, bevor Angreifer es tun.

Web-Applikations-Penetrationstest

Verwandte AWARE7-Leistungen

Penetrationstest ISO 27001 Beratung Security Schulungen
Alle Advisories Kostenlose Erstberatung vereinbaren

Schwachstellen finden, bevor Angreifer es tun

Unsere Sicherheitsforscher decken Schwachstellen durch gezielte Penetrationstests auf — und helfen Ihnen, diese zu schließen.

Kostenlose Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung