Эксплуатация уязвимости позволяла преступнику экспортировать все имена пользователей, адреса и другую конфиденциальную информацию клиентов.
Специалисты компании Sucuri обнаружили опасную уязвимость в плагине WP eCommerce, позволяющую злоумышленникам легко получить доступ и изменить личную информацию пользователя.
Эксплуатация уязвимости позволяла преступнику экспортировать все имена пользователей, адреса и другую конфиденциальную информацию клиентов, совершавших покупки посредством использования данного плагина. Также злоумышленники могли изменить статус заказа (с неоплаченного на оплаченный и наоборот). На данный момент разработчики плагина уже выпустили исправленную версию WP eCommerce 3.8.14.4.
В зоне риска находятся web-сайты на базе WordPress, использующие версию WP eCommerce 3.8.14.3 или ниже. Данная брешь позволяет преступникам воспользоваться правами администратора в обход аутентификации, и, отослав несколько запросов к базе данных web-сайтов, скромпрометировать персональную информацию клиента (включая имена, физические адреса, адреса электронной почты и пр.). Также сторонние лица могут совершать покупку товаров посредством изменения статуса транзакции на «оплата принята» без выполнения фактического платежа.
Специалисты Sucuri настоятельно рекомендуют обновить всем пользователям текущие версии плагина.
На перекрестке науки и фантазии — наш канал