Sklepy internetowe posługujące się silnikiem WordPress powinny jak najszybciej zadbać o aktualizację 5 rozszerzeń dla wtyczki WooCommerce, ponieważ zawierają one krytyczne podatnością, które mogą być wykorzystane do przejęcia kontroli nad sklepem internetowym oraz poważnym wyciekiem informacji z bazy danych WordPress. Realnym scenariuszem jest zainfekowanie witryny i dystrybucja szkodliwego oprogramowania. W konsekwencji strona internetowa znajdzie się na czarnych listach niebezpiecznych adresów internetowych URL.
Podatne są następujące rozszerzenia dla WooCommerce:
Advanced Order Export jest podatne na atak typu Cross-Site Request Forgery (CSRF), co może doprowadzić np. do przejęcia kontroli nad stroną (uprawnienia administratora).
Advanced Dynamic Pricing jest podatne na atak CSRF, doprowadzając do zmiany ceny produktów w sklepie. Podobnie Advanced Coupons i Role Based Pricing – manipulacja plikami cookies może doprowadzić do uzyskania większych uprawnień w witrynie.
Dropshipping zawiera poważną podatność skutkującą wstrzyknięciem kodu do bazy danych WordPress i uzyskaniem choćby uprawnień admiratora, w tym pełnego dostępu do bazy danych.
Mając na uwadze powyższe, bardzo krytyczne podatności, rekomenduje się pilne wykonanie kopii zapasowej strony internetowej, przetestowanie aktualizacji wtyczek oraz dokonanie zmian na serwerze.
Skalę podatności w Polsce dla poszczególnych rozszerzeń można oszacować na podstawie podobnego zapytania:
Site:*.*pl wp-content/plugins/woocommerce
