Sklepy internetowe posługujące się silnikiem WordPress powinny jak najszybciej zadbać o aktualizację 5 rozszerzeń dla wtyczki WooCommerce, ponieważ zawierają one krytyczne podatności, które mogą być wykorzystane do przejęcia kontroli nad sklepem internetowym oraz do poważnego wycieku informacji z bazy danych WordPress. Realnym scenariuszem jest na przykład zainfekowanie witryny i dystrybucja szkodliwego oprogramowania. W konsekwencji strona internetowa znajdzie się na czarnych listach niebezpiecznych adresów internetowych URL.
Podatne są następujące rozszerzenia dla WooCommerce:
Advanced Order Export jest podatne na atak typu Cross-Site Request Forgery (CSRF), co może doprowadzić np. do przejęcia kontroli nad stroną (uprawnienia administratora).
Advanced Dynamic Pricing jest podatne na atak CSRF, doprowadzając do zmiany ceny produktów w sklepie. Podobnie Advanced Coupons i Role Based Pricing – manipulacja plikami cookies może skutkować uzyskaniem większych uprawnień w witrynie.
Dropshipping zawiera poważną podatność dającą możliwość wstrzyknięcia kodu do bazy danych WordPress i uzyskania nawet uprawnień administratora, w tym pełnego dostępu do bazy danych.
Mając na uwadze powyższe luki, rekomenduje się pilne wykonanie kopii zapasowej strony internetowej, przetestowanie aktualizacji wtyczek oraz dokonanie zmian na serwerze.
Skalę podatności w Polsce dla poszczególnych rozszerzeń można oszacować na podstawie podobnego zapytania:
Site:*.*pl wp-content/plugins/woocommerce
