Vulnerabilidad de inyección SQL en WooCommerce

13 marzo, 2015 Por Noticias0

seguridad-en-wordpress-woocommerce-vulnerable-1024x329.jpg

Detectada inyección SQL en el plugin WooCommerce
Matt Barry, uno de los investigadores en Wordfence descubrio una vulnerabilidad de inyección SQL en la versión 2.3.5 y posteriores de WooCommerce, durante una auditoría de código del plugin alojado en el repositorio de WordPress. WooCommerce tiene más de un millón de descargas en el repositorio de plugins.

Al informarles sobre la falla, la gente de Woocommerce, lanzó en horas un parche para solucionar el inconveniente, lanzando la nueva versión del producto (2.3.6) lo que habla muy bien de la gente que trabaja en dicho plugin.

El problema específico es una vulnerabilidad de inyección SQL en el panel de administración. Dentro de la página de configuración de impuestos de WooCommerce, se encuentra el problema, específicamente en el parámetro ‘tax_rate_country’.

Qué hacer: actualizar inmediatamente a la versión 2.3.6 de WooCommerce que ya se encuentra parcheada.

Por favor difunde esta información para mantener seguros los sitios webs WordPress.

Gracias a la gente de Wordfence por la información.

Changelog Woocommerce:

2.3.6 – 13/03/2015

  • Fix – Removal of coupons containing spaces.
  • Fix – Unclosed div in profile page.
  • Fix – Export report CSV.
  • Fix – Settings API – allow multiselect fields to be emptied.
  • Fix – Saving an order needs to save the discount amount ex. tax like the cart.
  • Fix – Order again with custom attributes.
  • Fix – Prevent potential XSS within tooltips.
  • Fix – Paypal debug option.
  • Fix – Removed $q->query[‘wc_query’] = ‘product_query’ which broke redirects (#7703). Use $q->get(‘wc_query’) instead.
  • Fix – Sanitize tax_rate_id when saving taxes in the backend to prevent potential SQL injection.
  • Tweak – Show discounts inc. tax when showing order totals inc. tax.
  • Tweak – Use 30 days instead of year for transients to avoid bugs in memcache plugins.
  • Tweak – Add reports menu item if user can access reports but not the main WC section.
  • Tweak – Improve grouped product quantity inputs.
  • Tweak – Load the persistant cart if cart is empty.
  • Tweak – Prevent cart being cleared when accessing the login page.
  • Tweak – Shipping calculator – Made state/postcode respect country locale like checkout.
  • Tweak – Move default customer location to general settings tab.
  • Tweak – Only run save_category_fields for product_cat taxonomy.
  • Tweak – Improved message when variation attributes are missing.
  • Tweak – Allow wc_attribute_label to support product-level attribute names.
  • Tweak – Added the option to not round the line total.
  • Tweak – Improved coupon percent calculation for fixed discounts.
  • Tweak – Show calculate total when shipping is needed, but shipping is hidden.
  • Tweak – Cart total labels.
  • Tweak – Increase wc_get_weight precision.
  • Dev – API – reports/sales now also returns total refunds.

Comenta

Tu Email no será publicado. Campos requeridos *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Entrada AnteriorMás de 1.000.000 de sitios Wordpress vulnerables

Entrada SiguienteVulnerabilidades plugins Wordpress segunda semana de Marzo