Напишите нам
"Дырка" в WooCommerce грозит миллионам сайтов
19 Ноября 2018
Новости
Игорь Бахарев
Критическая уязвимость угрожает интернет-магазинам, использующим плагин WooCommerce для WordPress. Через прореху в этом плагине злоумышленники могут получить полный контроль над сайтом, при разработке которого он использовался. Как сообщает портал "Хакер", WooCommerce является одним из самых популярных плагинов для электронной коммерции - количество его пользователей насчитывает более 4 миллионов.
Специалисты компании RIPS Technologies, которые обнаружили эту прореху, говорят, что есть сразу две проблемы.
Первая связана с тем, что пользователь с ролью "Shop Manager" имеет права edit_users. Это разрешение позволяет пользователю редактировать любые посты, а также профили любых других пользователей WordPress, включая администратора. Система предусмотрела ряд ограничений, но при отключении WooCommerce все эти ограничения убираются. И "менеджеры магазина" могут делать всё, что захотят.
Вторая заключается в том, что пользователи с правами "Shop Manager" могут удалить любой файл плагина, включая критически важные для его работы. После этого плагин предсказуемо перестанет работать. То есть WordPress отключит этот плагин автоматически.
В такой ситуации для атакующего не составит труда захватить аккаунт администратора, а значит и контроль над всем сайтом.
Подробнее с проблемой и путями её решения можно ознакомиться в отчёте RIPS Technologies.
Напомним: буквально на днях стало известно, что с декабря 2018 года большинство сайтов, использующих движок WordPress, окажутся под угрозой. Дело в том, что PHP 5.6 и 7.0 перестанут получать обновления безопасности. Именно эти версии используют 57,1% всех сайтов на WordPress.
Специалисты компании RIPS Technologies, которые обнаружили эту прореху, говорят, что есть сразу две проблемы.
Первая связана с тем, что пользователь с ролью "Shop Manager" имеет права edit_users. Это разрешение позволяет пользователю редактировать любые посты, а также профили любых других пользователей WordPress, включая администратора. Система предусмотрела ряд ограничений, но при отключении WooCommerce все эти ограничения убираются. И "менеджеры магазина" могут делать всё, что захотят.
Вторая заключается в том, что пользователи с правами "Shop Manager" могут удалить любой файл плагина, включая критически важные для его работы. После этого плагин предсказуемо перестанет работать. То есть WordPress отключит этот плагин автоматически.
В такой ситуации для атакующего не составит труда захватить аккаунт администратора, а значит и контроль над всем сайтом.
Подробнее с проблемой и путями её решения можно ознакомиться в отчёте RIPS Technologies.
Напомним: буквально на днях стало известно, что с декабря 2018 года большинство сайтов, использующих движок WordPress, окажутся под угрозой. Дело в том, что PHP 5.6 и 7.0 перестанут получать обновления безопасности. Именно эти версии используют 57,1% всех сайтов на WordPress.
Подписаться на новости
Прочитаете,
когда вам будет удобно
Свежий дайджест из мира
eCommerce у вас в почте
