X

В плагине WooCommerce для WordPress нашли уязвимость

Исследователь в голландской компании Securify выявил достаточно опасную уязвимость в популярном плагине для реализации на сайте Интернет-магазина, WooCommerce. Согласно исследованиям, основная проблема заключена в том, как WooCommerce обрабатывает метаданные из загруженных на сервер изображений. Плагин извлекает содержимое полей «название» и «описание» и отображает его рядом с изображениями на фронтэнде. Данная особенность позволяет злоумышленникам устроить XSS-уязвимость. В связи с тем что методанные изображения могут отредактировать любые пользователи — в том числе и прописать туда вредоносный код. Далее злоумышленникам останется только применить социальную инженерию, а именно заставить администратора Интернет-магазина подгрузить картинку с вредоносным кодом к себе на сайт. Как только картинка появится на сайте, вирусный код выполнится, атака осуществится.

По словам автора исследование, обнаруженная уязвимость работает на WooCommerce 2.6.2. Также известно, что авторы популярного плагина закрыли указанную уязвимость в своей последней версии — 2.6.3.

Похожие записи