Vulnerabilidade XSS no WooCommerce Plugin
- Terça, 5th Setembro, 2017
- 14:02pm
Uma vulnerabilidade de script cruzada do site cruzadofoi relatada em um plugin premium do WordPress para o WooCommerce conhecido como o plugin ' Product Vendors '.Este plugin é usado por 28% de todas as lojas on-line do WooCommerce. Atualização: como um comentarista apontou, o WooCommerce é usado por 28% de todas as lojas online, e não pela extensão afetada.
Product Vendors versão 2.0.35 é afetada pela vulnerabilidade. Se você estiver usando esse plugin, é necessário atualizar imediatamente, pelo menos, a versão 2.0.36, que inclui a correção. A versão atual do Product Vendors é 2.0.40.
No Changelog Product Vendors , eles não mencionam que uma vulnerabilidade foi corrigida. A entrada changelog para 2.0.36 simplesmente diz:
2017-07-28 - versão 2.0.36
* Reparo - Ajusta como lidar com a validação do formulário de registro do fornecedor.
Esta solução de "validação de formulário" é a solução que remove a vulnerabilidade de scripts de site cruzado (XSS) em um formulário de inscrição para novos fornecedores.
Se você estiver usando o Wordfence, é improvável que seu site seja explorável porque o Wordfence inclui proteção XSS avançada para nossos clientes gratuitos e pagos.
A correção para a vulnerabilidade foi lançada em 28 de julho. Presumivelmente, o WooCommerce não mencionou no seu changelog que esta foi uma correção de segurança para tentar manter a vulnerabilidade confidencial para dar aos clientes tempo de atualização.
A correção já foi encerrada há um mês e essa vulnerabilidade está sendo reportada ao público. Apareceu no blog da Threatpost da Kaspersky há 2 horas.
Se você estiver executando uma versão mais antiga do plugin do Product Vendors, é importante que você atualize imediatamente para evitar que seu site seja explorado. Esta vulnerabilidade é agora pública e será explorada por atacantes.
Se você quiser saber mais sobre as vulnerabilidades de scripts do site cruzado e qual é a vulnerabilidade de scripting do site cruzado , você pode visitar nosso artigo do Centro de aprendizagem de segurança do WordPress em scripts entre sites . Nós detalhamos as diferenças entre o XSS armazenado e refletido e até incluímos um guia para desenvolvedores para ajudá-lo a validar seus dados e evitar a escrita de vulnerabilidades de scripts de sites cruzados
Compartilhe isso com a comunidade mais ampla do WordPress para ajudar a criar consciência da importância de atualizar este plugin o mais rápido possível.
