В плагине WordPress WP eCommerce обнаружена опасная уязвимость

В плагине WordPress WP eCommerce обнаружена опасная уязвимость

Эксплуатация уязвимости позволяла преступнику экспортировать все имена пользователей, адреса и другую конфиденциальную информацию клиентов.

image

Специалисты компании Sucuri  обнаружили  опасную  уязвимость  в плагине WP eCommerce, позволяющую злоумышленникам легко получить доступ и изменить личную информацию пользователя.

Эксплуатация уязвимости позволяла преступнику экспортировать все имена пользователей, адреса и другую конфиденциальную информацию клиентов, совершавших покупки посредством использования данного плагина. Также злоумышленники могли изменить статус заказа (с неоплаченного на оплаченный и наоборот). На данный момент разработчики плагина уже выпустили исправленную версию WP eCommerce 3.8.14.4.

В зоне риска находятся web-сайты на базе WordPress, использующие версию WP eCommerce 3.8.14.3 или ниже. Данная брешь позволяет преступникам воспользоваться правами администратора в обход аутентификации, и, отослав несколько запросов к базе данных web-сайтов, скромпрометировать персональную информацию клиента (включая имена, физические адреса, адреса электронной почты и пр.). Также сторонние лица могут совершать покупку товаров посредством изменения статуса транзакции на «оплата принята» без выполнения фактического платежа.

Специалисты Sucuri настоятельно рекомендуют обновить всем пользователям текущие версии плагина.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.