Ranjivost u Currency Switcheru za WooCommerce

Naš neustrašivi haker Luka Šikić istraživao je Currency Switcher popularni plugin za WooCommerce s više od 5000 instalacija na WordPressu. Ima mogućnosti poput automatskog osvježavanja tečajnih lista, cijena baziranih po proizvodu, automatska valuta po državi...
Tijekom jednih od naših posljednjih penetracijskih testiranja imali smo prilike napadati web dućan koji koristi spomenuti plugin i Luka je pronašao kritičnu ranjivost. Skraćena verzija je da u verziji 2.11.1 i ranijoj napadač može natjerati web dućan da se prebaci na valutu koja nije omogućena, napraviti konverziju, te na taj način dobije artikl za djelić cijene.

Kontaktirali smo razvojni tim, WP Wham, koji je promptno ispravio problem. Nova verzija plugina, 2.11.2, je bez spomenute ranjivosti pa potičemo sve korisnike da koriste tu verziju.

Ranjivost je dobila službeni CVE-ID - CVE-2019-18668.
< Natrag na insights