В плагине WordPress WP eCommerce обнаружена опасная уязвимость

Специалисты компании Sucuri  обнаружили  опасную  уязвимость  в плагине WP eCommerce, позволяющую злоумышленникам легко получить доступ и изменить личную информацию пользователя.

Эксплуатация уязвимости позволяла преступнику экспортировать все имена пользователей, адреса и другую конфиденциальную информацию клиентов, совершавших покупки посредством использования данного плагина. Также злоумышленники могли изменить статус заказа (с неоплаченного на оплаченный и наоборот). На данный момент разработчики плагина уже выпустили исправленную версию WP eCommerce 3.8.14.4.

В зоне риска находятся web-сайты на базе WordPress, использующие версию WP eCommerce 3.8.14.3 или ниже. Данная брешь позволяет преступникам воспользоваться правами администратора в обход аутентификации, и, отослав несколько запросов к базе данных web-сайтов, скромпрометировать персональную информацию клиента (включая имена, физические адреса, адреса электронной почты и пр.). Также сторонние лица могут совершать покупку товаров посредством изменения статуса транзакции на «оплата принята» без выполнения фактического платежа.

Специалисты Sucuri настоятельно рекомендуют обновить всем пользователям текущие версии плагина.