Choose language:
Pratite nas:
back

Ranjivost u Currency Switcheru za WooCommerce

31.10.2019

Tijekom jednog od naših penetracijskih testiranja otkrili smo kritičnu ranjivost u Currency Switcheru za WooCommerce

Edit:
Ranjivost je dobila službeni CVE-ID - CVE-2019-18668.
 
Original:
Naš neustrašivi haker Luka Šikić istraživao je Currency Switcher popularni plugin za WooCommerce s više od 5000 instalacija na WordPressu. Ima mogućnosti poput automatskog osvježavanja tečajnih lista, cijena baziranih po proizvodu, automatska valuta po državi...
Tijekom jednih od naših posljednjih penetracijskih testiranja imali smo prilike napadati web dućan koji koristi spomenuti plugin i Luka je pronašao kritičnu ranjivost. Skraćena verzija je da u verziji 2.11.1 i ranijoj napadač može natjerati web dućan da se prebaci na valutu koja nije omogućena, napraviti konverziju, te na taj način dobije artikl za djelić cijene.
 
Kontaktirali smo razvojni tim, WP Wham, koji je promptno ispravio problem. Nova verzija plugina, 2.11.2, je bez spomenute ranjivosti pa potičemo sve korisnike da koriste tu verziju.