Pesquisadores da empresa WebArx relataram que hackers estão ativamente tentando explorar várias falhas no Discount Rules para o plugin WooCommerce do WordPress.
A lista de vulnerabilidades inclui injeção de SQL, falhas de autorização e vulnerabilidades de segurança de cross-site scripting não autenticados.
Portanto, os invasores estão tentando atingir sites baseados no WooCommerce que executam versões desatualizadas do popular plugin.
Milhares de lojas WooCommerce no WordPress estão expostas a hackers
O Discount Rules para WooCommerce é um plugin do WordPress que permite aos usuários gerenciar preços de produtos e campanhas de desconto nas lojas online WooCommerce. Além disso, o plugin tem mais de 30.000 instalações!
O post publicado por especialistas da empresa WebArx diz:
O plugin Discount Rules para WooCommerce (versões 2.0.2 e abaixo) sofre de várias vulnerabilidades.
Nesse cenário, o problema de cross-site scripting não autenticados pode levar à execução remota de código.
Os especialistas observaram uma onda de ataques tentando explorar esta vulnerabilidade, a maioria deles a partir do endereço IP 45.140.167.17, que tenta injetar o script poponclick.info/click.js no template woocommerce_before_main_content.
Os especialistas alertam que as vulnerabilidades podem ser exploradas por invasores remotos para executar códigos potencialmente arbitrários nos sites vulneráveis com potencial de controle.
Enfim, a WebArx relatou as falhas à equipe de desenvolvimento do plugin em 7 de agosto; em 13 de agosto eles lançaram a versão 2.1.0 para resolver as vulnerabilidades.
No momento, o plugin foi baixado mais de 12.000 vezes nos últimos 7 dias. Como resultado, mais de 17.000 lojas online estão expostas.
Por fim, caso queira ler mais matérias sobre código aberto, Linux, Android, hardware, internet, programação e ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.
Fonte: Security Affairs
Erros do plugin Newsletter do WordPress permitem que hackers injetem backdoors em 300 mil sites
KingComposer corrige falha de XSS e afeta 100 mil sites WordPress
Bug crítico do plugin WordPress Product Review Lite foi descoberto
Falhas em dois plugins famosos do WordPress colocam milhões de sites em risco