Molti sviluppatori di siti E-Commerce, per migliorare l’esperienza di navigazione dei siti e favorire i checkout degli ordini, aggiungono talune funzionalità di supporto. Tra queste c’è sicuramente quella della ripresa del carrello abbandonato, che mostra all’utente cosa stava per acquistare senza procedere all’ultimazione vera e propria dell’ordine invitandolo a terminare l’operazione. Per i siti sviluppati su WordPress ed in particolare col plugin WooCommerce, uno dei più utilizzati al mondo, oltre 30.000 siti hanno scelto un plugin ad hoc che si chiama Abandoned Cart. Per la versione Lite, ovvero quella senza costi aggiuntivi, nei giorni scorsi è stata segnalata tuttavia una falla di sicurezza che può mettere in pericolo tutti gli utenti dei portali.
La vulnerabilità, infatti, permetterebbe ad un malintenzionato di interporsi tra il sito web e gli utenti che non hanno terminato gli acquisti, subentrando agli account senza passare da un’autenticazione. MITRE, ovvero l’organizzazione che classifica e valuta le vulnerabilità, ha dato un punteggio di 9.8 su 10 alla falla che è stata “nominata” con l’ID CVE-2023-2986. La gravità del problema sta anche nel fatto che i malintenzionati potevano prendere controllo di ogni tipo di account. Per porre un esempio, anche se nel negozio online vi fosse stata una differenziazione tra clienti di base e clienti premium, nel caso in esame non avrebbe fatto differenza. Le versioni coinvolte nella vulnerabilità sono la 5.14.2 e tutte le precedenti.
Il problema che sta alla base di tutto risiede, a quanto osservato da Wordfence, in un errore nella chiave di crittografia, considerata debole e reperibile da un malintenzionato che può poi utilizzarla per i suoi fini. La società Tyche Softwares, che sviluppa Abandoned Cart Lite, è stata comunque molto rapida nel rilasciare una prima versione con patch, la numero 5.15.0, ed una seconda con ulteriori miglioramenti, la 5.15.1 (è inoltre già disponibile da qualche giorno la versione 5.15.2). Ovviamente tutti coloro che utilizzano questo plugin sono invitati ad installare al più presto queste versioni corrette per non incorrere in grosse problematiche col loro sito web. La premura di questa installazione è dimostrata anche dalla velocità di rilascio, considerando che la vulnerabilità è stata segnalata la prima volta il 29 maggio e la seconda patch è arrivata il 13 giugno.
L’attenzione a tutto ciò che riguarda i propri negozi online deve restare sempre alta, poiché purtroppo le falle di sicurezza vengono scoperte con cadenza piuttosto alta e non sempre possono essere tenute sotto controllo dagli utenti. Quello che si può e si deve fare, invece, è interessarsi a tutti gli aggiornamenti degli strumenti che si usano, soprattutto sui CMS.