CVE-2022-50972: Kritisk RCE-fejl i WooCommerce 7.1.0

CVE-2022-50972 er en kritisk sikkerhedsfejl i WooCommerce version 7.1.0 — det populære plugin til WordPress-webshops. Fejlen ligger i, at en bestemt del af koden ikke tjekker og renser brugerinput ordentligt. Det betyder, at en angriber kan sende en særligt udformet forespørgsel til din hjemmeside og dermed få systemet til at skrive en ondsindet PHP-fil (et programscript) direkte på din webserver. Når filen er placeret der, kan angriberen køre vilkårlige kommandoer på serveren — helt uden at logge ind eller have nogen form for adgang i forvejen. Teknisk kaldes dette Remote Code Execution (RCE), altså fjernudførelse af kode.

Sårbarheden rammer alle, der driver en WordPress-hjemmeside med WooCommerce i præcis version 7.1.0. Det drejer sig typisk om:

• Ejere af webshops bygget på WordPress med WooCommerce
• Virksomheder, der sælger produkter eller services online via WooCommerce
• Bureauer og udviklere, der vedligeholder WooCommerce-sites for kunder

Angriberen behøver ingen brugerkonti, adgangskoder eller særlig viden om din opsætning. Det er nok at kende den sårbare URL — som er offentligt tilgængelig på alle standard WooCommerce-installationer.

Hvis sårbarheden udnyttes, kan en angriber i praksis overtage hele din webserver. Det konkrete betyder:

• Datatyveri: Kundedata, ordrehistorik, betalingsoplysninger og persondata kan kopieres og stjæles
• Ransomware eller sabotage: Angriberen kan kryptere eller slette filer på serveren og kræve løsepenge
• Phishing-angreb mod dine kunder: Din hjemmeside kan ændres til at narre dine kunder til at afgive kortoplysninger (såkaldt skimming)
• Misbrug af serveren: Serveren kan bruges til at sende spam, angribe andre hjemmesider eller mine kryptovaluta
• GDPR-brud: Et databrud kan udløse anmeldepligt til Datatilsynet og potentielt store bøder

Denne sårbarhed er vurderet til 9.8 ud af 10 på CVSS-skalaen, som er den internationalt anerkendte målestok for alvor. Det placerer den i kategorien Kritisk. Vurderingen er så høj fordi:

• Angrebet kan udføres over internettet uden fysisk adgang
• Det kræver ingen forudgående login eller særlige rettigheder
• Der kræves ingen handling fra dig eller dine brugere for at angrebet lykkes
• Konsekvenserne rammer fortrolighed, integritet og tilgængelighed på højeste niveau

Kort sagt: En angriber kan i teorien finde og udnytte din shop automatisk ved blot at scanne internettet for sårbare versioner.

Handl hurtigst muligt. Her er de konkrete trin du skal følge:

1. Tjek din WooCommerce-version: Log ind på dit WordPress-dashboard, gå til Plugins og find WooCommerce. Se hvilken version du kører. Er det 7.1.0, er du berørt.
2. Opdater WooCommerce straks: Klik ‘Opdater nu’ ved WooCommerce-pluginet, eller gå til Dashboard → Opdateringer. Opdater til den nyeste tilgængelige version.
3. Tag en backup inden opdatering: Sørg for at have en frisk backup af både filer og database, så du kan gendanne hvis noget går galt under opdateringen.
4. Tjek for tegn på kompromittering: Bed din hostingudbyder eller en tekniker om at gennemgå serverlogfiler for mistænkelig aktivitet, særligt forespørgsler til class-wc-meta-box-product-images.php.
5. Skift adgangskoder: Skift adgangskoder til WordPress-admin, FTP/SFTP og din hostingkonto som en sikkerhedsforanstaltning.
6. Overvej en Web Application Firewall (WAF): En WAF kan blokere kendte angrebsmønstre og give et ekstra lag beskyttelse fremover.