WooCommerce este un plugin folosit in site-urile WordPress pentru a transforma site-ul intr-unul eCommerce (intr-un magazin online). WooComerce este un plugin ce faciliteaza utilizatorului adaugarea si editarea de produse de orice tip, avand multiple optiuni pentru pagina de produs, acces instant la statusul comenzilor si la lista clientilor cat si gestionarea diverselor metode de plata. Varianta de baza a plugin-ului este gratuita si poate fi upgradata prin diferite extensii ce sunt contra-cost.
Totusi, dupa cate se pare, expertii de la Wordfence au descoperit o vulnerabilitate de tip injectie SQL in WooCommerce versiunea 2.3.5. Plugin-ul WooCommerce este instalat pe mai mult de 1 milion de site-uri WordPress, ceea ce face ca aceasta vulnerabilitate sa nu fie ceva banal.
Problema apare in panoul de administrare in pagina Tax Settings a plugin-ului WooCommerce, unde cheia parametrului ‘tax_rate_country’ nu este verificata. De exemplu, sarcina parametrului tax_rate_country[(SELECT SLEEP(10))] ar fi sa seteze serverul MySQL in modul sleep pentru 10 minute.
Aceasta vulnerabilitate va cere fie sa contactati un manager sau sa aveti un cont de administrator si are nevoie de un atac XXS pentru a fi exploatata.
Ce putem face pentru a evita aceasta vulnerabilitate?
Expertii de la Worfence au contactat compania Woo pentru a le semnala aceasta problema, iar acestia au raspuns imediat (la numai patru ore de la primirea raportului privind problema descoperita pe versiunea 2.3.5) prin lansarea versiunii 2.3.6 a plugin-ului ce nu mai are aceasta problema.
Deci, puteti rezolva problema foarte simplu, facand un upgrade plugin-ului WooCommerce la versiunea 2.3.6 ce nu mai are aceasta vulnerabilitate de tip injectie SQL. Sfatul nostru este sa faceti acest lucru cat mai curand pentru a scapa de problema. Aceasta este disponibila pe site-ul WordPress.org sau printr-un upgrade automat in panoul dumneavoastra de administrare.
Comments
Tags: 2.3.5, 2.3.6, SQL, WooCommerce