Kritische Sicherheitslücke in WooCommerce
Ausgerechnet das beliebte WordPress-Plugin WooCommerce weist eine kritische Sicherheitslücke auf, die Angreifern eine Kompromittierung der gesamten Seite ermöglicht. Damit sind auch Kundendaten von Online-Shops in akuter Gefahr. Die Entwickler haben bereits ein Update bereitgestellt.
In der bis zum gestrigen Mittwoch aktuellen Version 2.3.10 sowie älterer Releases des E-Commerce-Plugin WooCommerce gibt es eine Sicherheitslücke, die Angreifern Zugriff auf sämtliche Dateien auf dem Server gibt. Darauf weist der Sicherheitsdienstleister Sucuri in einem am Mittwoch publizierten Blogpost hin. In einem Test gelang es den Experten, so sensible Dateien wie die wp-config.php herunterzuladen, die unter anderem den geheimen WordPress-Schlüssel und Zugriffsdaten für die Datenbank beinhaltet.
Das Leck befindet sich in der get_paypal_order Funktion, führt Sucuri aus. Betroffen sind alle Shop-Anbieter, die die WooCommerce-Option "Paypal Identify Token" aktiviert haben.
WooCommerce-Patch und Offenlegung am gleichen Tag: Kritik an Sucuri
WooCommerce, das erst vor wenigen Wochen von WordPress.com-Betreiber Automattic gekauft wurde, hat den Fehler in der am gestrigen Mittwoch veröffentlichten Version 2.3.11 behoben. Am selben Tag erschien der Blogpost von Sucuri, der die Sicherheitslücke offenlegte. Dafür musste sich Sucuri einige Kritik gefallen lassen: So gibt es in den Kommentaren zum Artikel mehrere Klagen darüber, Shop-Betreibern sei nicht genug Zeit zum Update gegeben und viele Hacker durch den Blogartikel erst die Lücke aufmerksam gemacht wurde.
Sucuri-Chef Daniel Cid entgegnet auf die Kritik, die "bad guys" wüssten ohnehin schon von der Lücke. Sie bräuchten dazu keinen Blogartikel. Er diene dazu, die Community auf das Problem aufmerksam zu machen – wenn man die Website-Betreiber nicht zum patchen dränge, seien sie immer einen Schritt hinter ihren Kontrahenten von der dunklen Seite.
Keine Kommentare vorhanden