Μια ευπάθεια στο πρόσθετο WooCommerce Multi Currency θα μπορούσε να επιτρέψει σε κάθε πελάτη να αλλάξει την τιμολόγηση των προϊόντων στα ηλεκτρονικά καταστήματα.
Το WooCommerce είναι ένα δημοφιλές πρόσθετο ηλεκτρονικού εμπορίου για ιστότοπους με WordPress. Το πρόσθετο εντοπίζει αυτόματα τη γεωγραφική θέση ενός πελάτη και εμφανίζει τις τιμές στο νόμισμα της χώρας πελάτη, με την ισοτιμία συναλλάγματος να ρυθμίζεται χειροκίνητα ή αυτόματα χρησιμοποιώντας τις τρέχουσες συναλλαγματικές ισοτιμίες. Έχει 7.700 πωλήσεις στο Envato Marketplace.
Σύμφωνα με το Ninja Technologies Network (NinTechNet), υπάρχει μία ευπάθεια ελέγχου πρόσβασης στις εκδόσεις 2.1.17 και κάτω, επηρεάζοντας τη δυνατότητα ‘Import Fixed Price’ του Multi Currency, η οποία επιτρέπει στους ιστότοπους του ηλεκτρονικού εμπορίου να ορίσουν προσαρμοσμένες τιμές. Για να εκμεταλλευτούν το πρόβλημα, οι επιτιθέμενοι θα μπορούσαν να ανεβάσουν ένα ειδικά δημιουργημένο αρχείο CSV στον ιστότοπο, το οποίο χρησιμοποιεί το τρέχον νόμισμα ενός προϊόντος και το αναγνωριστικό προϊόντος.
‘Είναι σημαντικό να επαληθεύσετε κάθε παραγγελία, επειδή το hack δεν αλλάζει την τιμή του προϊόντος στο backend, επομένως ο διευθυντής του καταστήματος πιθανόν να μην το παρατηρήσει αμέσως.’
Για να μην επηρεαστείτε, οι διαχειριστές ιστότοπου θα πρέπει να ενημερώσουν στην πιο πρόσφατη έκδοση του πρόσθετου, v. 2.1.18.
Το συγκεκριμένο δημοφιλές πρόσθετο έχει το τελευταίο διάστημα πολλά προβλήματα ασφαλείας με τελευταίο αυτό που ανακαλύφθηκε στα τέλη Αυγούστου, το οποίο θα μπορούσε να επιτρέψει στους μη επιτρεπόμενους εισβολείς να εισάγουν κακόβουλο κώδικα σε ιστότοπους που εκτελούν μη ενημερωμένες εκδόσεις.
Με πληροφορίες από threatpost.com
