Jeśli jesteś właścicielem sklepu internetowego zbudowanego na WordPressie i zasilanego wtyczką WooCommerce, uważaj na nową, niezałataną jeszcze podatność, która została upubliczniona i może pozwolić atakującemu na złamanie zabezpieczeń twojej witryny.

Luka występuje we wtyczce o nazwie WooCommerce Checkout Manager, która rozszerza funkcjonalność WooCommerce, umożliwiając witrynom handlu elektronicznego dostosowywanie formularzy na ich stronach. Jest obecnie używana przez ponad 60 000 stron internetowych.

Podatność związana jest z możliwością przesyłania dowolnych plików, może zostać wykorzystana przez nieuwierzytelnionych, zdalnych atakujących, jeśli witryny mają włączoną opcję „Kategoryzuj przesłane pliki” w ustawieniach wtyczki WooCommerce Checkout Manager. Pozwala ona atakującemu na wykonanie dowolnego kodu po stronie serwera w kontekście procesu serwera WWW.

Jeśli Twoja witryna WordPress korzysta z tej wtyczki, zaleca się wyłączenie opcji „Kategoryzuj przesłane pliki” w ustawieniach lub całkowite wyłączenie wtyczki, dopóki nowa, zaktualizowana wersja nie zostanie opublikowana.

Więcej informacji: https://thehackernews.com/2019/04/wordpress-woocommerce-security.html