В модуле Product Vendors плагина WooCommerce для WordPress обнаружена уязвимость типа Reflected XSS (межсайтовый скриптинг). Компания Automattic, которой принадлежит WooCommerce, выпустила патч, закрывающий ошибку.

Уязвимость затрагивает версию 2.0.35 и более ранние. Владельцам сайтов настоятельно рекомендуется установить патч, особенно если у них не работает автоматическое обновление.

WooCommerce — одна из наиболее популярных e-commerce платформ в мире. По разным данным платформу эту использует до 40% всех интернет-магазинов.

«Это была уязвимость нулевого дня, — сказал Логан Кипп (Logan Kipp), WordPress-евангелист компании SiteLock. — Если бы эта проблема была обнаружена кем-то другим, это стало бы серьезной проблемой».

Ошибка обнаружена в определенной области в форме регистрации. «В теории, навредить можно отправляя специальным образом обработанную ссылку любому, у кого есть логин-пароль на этом сайте. И если у пользователя открыта активная сессия, то ее можно взломать», — говорит Кипп.

Уязвимость была раскрыта через баг-баунти программу HackerOne, награждающую за найденные баги. Компания SiteLock получила премию в $225 и перечислила ее в WordPress Foundation.

Категории: Кибероборона, Уязвимости