SQLi в плагине WooCommerce актуальна для пяти миллионов WordPress-сайтов

В популярном ecommerce-плагине для WordPress устранена возможность кражи данных из баз интернет-магазинов посредством SQL-инъекции. Злоумышленники уже пытаются использовать проблему WooCommerce в атаках; пользователям настоятельно рекомендуется применить обновление.

Новая уязвимость пока не получила CVE-идентификатор; степень ее опасности оценена в 8,2 балла по шкале CVSS. Подробности пока не разглашаются; известно лишь, что возможность внедрения SQL-кода возникла из-за некорректной реализации механизма вебхука.

Эксплойт не требует аутентификации, так как санация данных, вводимых пользователем, тоже несовершенна. В результате атаки злоумышленник сможет получить любую информацию из базы данных коммерческой организации, от клиентских ПДн и платежных реквизитов до логинов и паролей персонала.

Уязвимости подвержены все прежние выпуски WooCommerce веток с 3.3 по 5.5; согласно внутренней статистике, на счету этого плагина свыше 5 млн активных установок. Угроза SQLi актуальна также для смежного расширения WooCommerce Blocks, позволяющего отображать товары на страницах сайта с фильтрацией по категориям. Этот плагин в настоящее время работает более чем на 200 тыс. сайтов.

Патчи вышли для всех затронутых веток WooCommerce и WooCommerce Blocks и уже начали раздаваться в автоматическом режиме. После обновления пользователям советуют совершить апгрейд и установить новейшую сборку — 5.5.1, а также сменить пароли. Медлить при этом не стоит: уже зафиксированы попытки использовать новую брешь в атаках.