Было обнаружено белое пятно в плагине WP eCommerce на WordPress, которое позволяло мошенникам не только получать личные данные пользователей, но и изменять их по своему желанию. Брешь обнаружили при изучении работы плагина сотрудники компании Sucuri.
С помощью бреши в защите преступники узнавали имена пользователей, адреса и другие личные данные, указываемые при совершении покупок через WP eCommerce. Кроме того, мошенники могли изменять статусы оформленных заказов: отмечать их как оплаченные или неоплаченные. После получения информации о наличии белых пятен в плагине, разработчиками был выпущен патч с исправлением бреши – WP eCommerce 3.8.14.4.
В настоящий момент риску подвергаются владельцы сайтов, работающих на базе WordPress с установленным плагином 3.8.14.3 или более ранней версией WP eCommerce. С помощью полученной информации, преступники могут обходить процедуру аутентификации на сайте и использовать права администратора. Это позволяет им изменять или копировать данные пользователей (имена, адреса, электронную почту). Третьим лицам также доступна покупка товаров с помощью информации о пользователях посредством изменения статуса неоплаченного заказа на оплаченный.
Во избежание незаконного распространения личных данных и мошеннических операций с их применением, компания Sucuri рекомендует всем пользователям WP eCommerce обновить плагин до новой версии.
Ссылка для обновления:
https://downloads.wordpress.org/plugin/wp-e-commerce.3.8.14.4.zip
