Pesquisadores da empresa WebArx relataram que hackers estão ativamente tentando explorar várias falhas no Discount Rules para o plugin WooCommerce do WordPress.
A lista de vulnerabilidades inclui injeção de SQL, falhas de autorização e vulnerabilidades de segurança de cross-site scripting não autenticados.
Portanto, os invasores estão tentando atingir sites baseados no WooCommerce que executam versões desatualizadas do popular plugin.
Milhares de lojas WooCommerce no WordPress estão expostas a hackers
O Discount Rules para WooCommerce é um plugin do WordPress que permite aos usuários gerenciar preços de produtos e campanhas de desconto nas lojas online WooCommerce. Além disso, o plugin tem mais de 30.000 instalações!
O post publicado por especialistas da empresa WebArx diz:
O plugin Discount Rules para WooCommerce (versões 2.0.2 e abaixo) sofre de várias vulnerabilidades.
Nesse cenário, o problema de cross-site scripting não autenticados pode levar à execução remota de código.
Os especialistas observaram uma onda de ataques tentando explorar esta vulnerabilidade, a maioria deles a partir do endereço IP 45.140.167.17, que tenta injetar o script poponclick.info/click.js no template woocommerce_before_main_content.
Os especialistas alertam que as vulnerabilidades podem ser exploradas por invasores remotos para executar códigos potencialmente arbitrários nos sites vulneráveis com potencial de controle.
Notícias Relacionadas
Audiolivros Spotify
Spotify expande catálogo de audiolivros com parceria estratégica
Spotify firmou parceria com a Bloomsbury Publishing para expandir seu catálogo de audiolivros. A nova coleção inclui 1.000 títulos de autores aclamados e narradores de destaque, fortalecendo o papel dos audiolivros na plataforma.
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Enfim, a WebArx relatou as falhas à equipe de desenvolvimento do plugin em 7 de agosto; em 13 de agosto eles lançaram a versão 2.1.0 para resolver as vulnerabilidades.
No momento, o plugin foi baixado mais de 12.000 vezes nos últimos 7 dias. Como resultado, mais de 17.000 lojas online estão expostas.
Por fim, caso queira ler mais matérias sobre código aberto, Linux, Android, hardware, internet, programação e ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.
Fonte: Security Affairs
Erros do plugin Newsletter do WordPress permitem que hackers injetem backdoors em 300 mil sites
KingComposer corrige falha de XSS e afeta 100 mil sites WordPress
Bug crítico do plugin WordPress Product Review Lite foi descoberto
Falhas em dois plugins famosos do WordPress colocam milhões de sites em risco
