in

Milhares de lojas WooCommerce no WordPress estão expostas a hackers

O plugin foi baixado mais de 12.000 vezes nos últimos 7 dias.

Pesquisadores da empresa WebArx relataram que hackers estão ativamente tentando explorar várias falhas no Discount Rules para o plugin WooCommerce do WordPress.

A lista de vulnerabilidades inclui injeção de SQL, falhas de autorização e vulnerabilidades de segurança de cross-site scripting não autenticados.

Portanto, os invasores estão tentando atingir sites baseados no WooCommerce que executam versões desatualizadas do popular plugin.

Milhares de lojas WooCommerce no WordPress estão expostas a hackers

O Discount Rules para WooCommerce é um plugin do WordPress que permite aos usuários gerenciar preços de produtos e campanhas de desconto nas lojas online WooCommerce. Além disso, o plugin tem mais de 30.000 instalações!

O post publicado por especialistas da empresa WebArx diz:

O plugin Discount Rules para WooCommerce (versões 2.0.2 e abaixo) sofre de várias vulnerabilidades.

Nesse cenário, o problema de cross-site scripting não autenticados pode levar à execução remota de código.

Milhares de lojas WooCommerce no WordPress estão expostas a hackers
O Discount Rules para WooCommerce é um plugin do WordPress que permite aos usuários gerenciar preços de produtos e campanhas de desconto nas lojas online WooCommerce. Imagem: Discount Rules for WooCommerce.

Os especialistas observaram uma onda de ataques tentando explorar esta vulnerabilidade, a maioria deles a partir do endereço IP 45.140.167.17, que tenta injetar o script poponclick.info/click.js no template woocommerce_before_main_content.

Os especialistas alertam que as vulnerabilidades podem ser exploradas por invasores remotos para executar códigos potencialmente arbitrários nos sites vulneráveis com potencial de controle.

Enfim, a WebArx relatou as falhas à equipe de desenvolvimento do plugin em 7 de agosto; em 13 de agosto eles lançaram a versão 2.1.0 para resolver as vulnerabilidades.

No momento, o plugin foi baixado mais de 12.000 vezes nos últimos 7 dias. Como resultado, mais de 17.000 lojas online estão expostas.

Por fim, caso queira ler mais matérias sobre código aberto, Linux, Android, hardware, internet, programação e ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.

Fonte: Security Affairs

Erros do plugin Newsletter do WordPress permitem que hackers injetem backdoors em 300 mil sites

KingComposer corrige falha de XSS e afeta 100 mil sites WordPress

Bug crítico do plugin WordPress Product Review Lite foi descoberto

Falhas em dois plugins famosos do WordPress colocam milhões de sites em risco