Fejl i e-handelsplugin åbner for svindel

Artiklen blev oprindeligt publiceret den 31/10/2014

Et sikkerhedshul i pluginet WP eCommerce til WordPress lader angribere bestille varer og angive dem som betalt. Hullet er lukket med en sikkerhedsopdatering.

WP eCommerce tilføjer funktioner til e-handel til WordPress. Sikkerhedsfirmaet Sucuri har opdaget en sårbarhed, der gør det muligt for brugere at få adgang med privilegier som administrator, selvom de ikke er logget ind som administrator.

Angriberen kan downloade information om kunderne eller bestille en vare og angive, at den er betalt, selvom det ikke er tilfældet.

Sårbarheden er fjernet i version 3.8.14.4.

WP eCommerce er downloadet 2,9 millioner gange, så det ser ud til at være bredt anvendt. Sucuri har givet sårbarheden en moderat risikovurdering.

Anbefaling
Administratorer af WordPress-websteder med WP eCommerce skal opdatere pluginet til version 3.8.14.4.

Links