Если более подробно, то уязвимость существует из-за ошибки в механизме аутентификации при обработке запросов к сценарию /wp-admin/admin-post.php. В результате злоумышленник, в обход механизма аутентификации, может получить доступ к конфиденциальным данным. Затем, экспортировать все имена пользователей, адреса и другую конфиденциальную информацию клиентов, которые совершали покупки посредством использования данного плагина.
Кроме этих действий, киберпреступник может изменить статус заказа (например, с неоплаченного на оплаченный и наоборот). Другими словами, данная уязвимость наделяет злоумышленников правами администратора в обход аутентификации.
Узнав про существующую брешь в таком популярном плагине, разработчики без промедления выпустили для него обновление. Однако, не смотря на это, в зоне риска все еще находится огромное количество web-сайты на базе WordPress, использующих версию WP eCommerce ниже 3.8.14.4.
Новая версия WP eCommerce 3.8.14.4, не подвержена данной уязвимости, и может быть скачана с официального сайта разработчика уже сегодня.
Автор:
-=(C)DRU987=-
(Dev) / 22 Ноября 2014 в 15:52 / Просмотров: 449