Мир: В плагине WordPress WP eCommerce обнаружена опасная уязвимость

4

Специалисты компании Sucuri обнаружили опасную уязвимость в плагине WP eCommerce, позволяющую злоумышленникам легко получить доступ и изменить личную информацию пользователя. Эксплуатация уязвимости позволяла преступнику экспортировать все имена пользователей, адреса и другую конфиденциальную информацию клиентов, совершавших покупки посредством использования данного плагина. Также злоумышленники могли изменить статус заказа (с неоплаченного на оплаченный и наоборот). На данный момент разработчики плагина уже выпустили исправленную версию WP eCommerce 3.8.14.4.

В зоне риска находятся web-сайты на базе WordPress, использующие версию WP eCommerce 3.8.14.3 или ниже. Данная брешь позволяет преступникам воспользоваться правами администратора в обход аутентификации, и, отослав несколько запросов к базе данных web-сайтов, скромпрометировать персональную информацию клиента (включая имена, физические адреса, адреса электронной почты и пр.). Также сторонние лица могут совершать покупку товаров посредством изменения статуса транзакции на “оплата принята” без выполнения фактического платежа. Специалисты Sucuri настоятельно рекомендуют обновить всем пользователям текущие версии плагина. (WordPress/NovostIT)