Виявлені вади безпеки в WooCommerce та плагіні Dokan Pro

WooCommerce опублікував повідомлення про XSS (Cross Site Scripting) вразливість, в той час як Wordfence одночасно попередив про критичну вразливість в плагіні WooCommerce - Dokan Pro. Повідомлення про Dokan Pro попереджало, що вразливість SQL Injection дозволяє неавторизованим зловмисникам витягувати конфіденційну інформацію з бази даних веб-сайту. Wordfence вказав SEJ, що безкоштовна версія плагіна Dokan Lite не зазнала впливу.

"Dokan Pro дозволяє користувачам перетворити їхній веб-сайт WooCommerce в багатопродавецький майданчик, подібний до сайтів, як Amazon та Etsy. Зараз він має понад 50 000 встановлень. Версії плагіна до 3.10.3 включно є вразливими. Згідно з WordFence, версія 3.11.0 є повністю виправленою та найбезпечнішою версією."

🚀 Зараз лише 30,6% встановлень використовують найновішу версію, 3.11. Важливо зазначити, що ця вразливість не впливає на Dokan Lite, ці статистичні дані лише показують, яке розподілення версії для Lite версії та може або не може вказувати на розподілення версії для Dokan Pro.

• 📌 Виробник Dokan Pro, можливо, не хотів попереджати хакерів про критичну вразливість, тому у журналі змін для версії 3.10.4, яка була випущена 25 квітня 2024 року (і яка мала бути виправлена), не вказується, що є виправлення.

🚀 Common Vulnerability Scoring System (CVSS) - це відкритий стандарт для присвоєння оцінки, яка представляє серйозність вразливості. Плагін Dokan Pro отримав оцінку CVSS 10, найвищий рівень серйозності, що означає, що всім користувачам плагіна рекомендується негайно вжити заходів.

"Dokan Pro містить вразливість Unauthenticated SQL Injection. Вразливість SQL Injection в WordPress - це та, в якій плагін або тема дозволяє зловмиснику маніпулювати базою даних. База даних - це серце кожного веб-сайту WordPress, де зберігаються всі паролі, логіни, повідомлення, теми та дані плагінів. Вразливість, яка дозволяє будь-кому маніпулювати базою даних, є надзвичайно серйозною."