Wenn Sie einer der Benutzer sind, die WordPress als Plattform zum Erstellen eines Onlineshops mit dem WP eCommerce-Plugin verwenden, sollten Sie es so schnell wie möglich aktualisieren, da die Sucuri-Sicherheitsfirma eine neue Sicherheitslücke in diesem Plugin veröffentlicht hat.
Die Anweisung gibt an, dass eine Version 3.8.14.3 oder niedriger anfällig ist. In diesem Fall ermöglicht die Sicherheitsanfälligkeit jedoch keinen Zugriff auf den Server (sie ermöglicht nur den Diebstahl von Informationen) und wurde daher nicht als kritisch eingestuft.
Es ist ein Plugin, das von der WordPress-Community mit fast drei Millionen Downloads weit verbreitet ist. Daher haben die Entwickler von WP eCommerce das Sicherheitsproblem mit dem Update 3.8.14.4 schnell behoben.
Schwachstellenanalyse des WP eCommerce Plugins.
Laut den von Sucuri veröffentlichten Informationen ähnelt die Sicherheitslücke der, die vor einiger Zeit im MailPoet-Plugin veröffentlicht wurde . Die Entwickler verwenden den Hook admin_init als Mittel zur Überprüfung von Berechtigungen, was ein schwerwiegender Fehler ist, da dieser Hook ohne Authentifizierung über /wp-admin/admin-ajax.php und /wp-admin/admin-post.php .
Diese Sicherheitsanfälligkeit ermöglicht es einem böswilligen Benutzer, einige Verwaltungsaufgaben über das Plug-in auszuführen, ohne dazu berechtigt zu sein. Die Sicherheitsanfälligkeit ermöglicht es Ihnen, Kundendaten (Name, E-Mail, Adresse usw.) herunterzuladen , den Status eines Einkaufs zu ändern (z. B. den Status von nicht bezahlt in bezahlt zu ändern) oder sogar Produkte zu kaufen, ohne zu bezahlen .
Es ist nicht erforderlich, diese Art von Sicherheitslücken durch Informationsdiebstahl herunterzuspielen, da die Offenlegung der Daten Ihrer Kunden rechtliche Probleme verursachen kann, obwohl dies im Prinzip kein großes Risiko darstellt. Sie können unserem Unternehmen auch Verluste zufügen, indem Sie Einkäufe tätigen, ohne einen Euro zu zahlen.
Es ist wieder ein Plugin, das die Sicherheit unseres WordPress-Blogs aufdeckt, sodass ich es nicht müde werde, es zu wiederholen. Die Plugins müssen auf dem neuesten Stand gehalten werden . Es zeigt mir auch, dass Entwickler die Sicherheitsrichtlinien nicht befolgen, da wir das gleiche Problem schon mehrmals gesehen haben (MailPoet, WPTouch und benutzerdefinierte Kontaktformulare ).
Quelle (auf Englisch): http://goo.gl/L4b9XU
