Las páginas web para comprar productos han proliferado como la espuma los últimos años. La gran mayoría de ellas están basadas en WordPress. WooCommerce, uno de los plugins más populares para este tipo de sitios web tiene una vulnerabilidad que podría permitir ejecutar código malicioso.
El plugin, instalado en prácticamente 20.000 sitios web ofrece gran variedad de herramientas para la gestión de los precios y ofertas para los comercios online.
Según los investigadores de Ninja Technologies, las vulnerabilidades afectan a las versiones 2.4.1 e inferiores. Se trata de dos, una de un bug de cross-site scripting (XSS) y otra con un problema al exportar un archivo con información.
Un atacante externo sería capaz de descargar un archivo de datos que puede tener algunos campos vacíos, colocar ahí información corrupta y luego volver a subir el archivo de datos a la web. Además, tendría acceso a multitud de información procedente de la base de datos de los productos ofertados en la web, la información de pago de los clientes e, incluso, credenciales de los empleados.
Los usuarios de WooCommerce deberían actualizar con la mayor brevedad posible a la última versión del plugin, ya que la compañía ya ha lanzado los parches de seguridad convenientes.
Fuente: ThreatPost
Imagen:Foto de Tarjeta de visita creado por ijeab – www.freepik.es