Wordfence Threat Intelligence’i meeskond avastas hiljuti turvaaugu WooCommerce’i WordPressi pistikprogrammist Boosterist, millel on hetkel pea 100 000 aktiivset kasutajat.

“Äsja leitud haavatavus võimaldas ründajal sisse logida iga kasutajana, kui pistikprogrammis olid teatud valikud lubatud,” kirjutatakse Wordfence’i blogipostituses. 

Turvaauku hinnati CVSS (Common Vulnerability Scoring System) haavatavuse hindamissüsteemis skooriga 9,8, mis tähendab, et tegu on vägagi kriitilise ohuga. Meeskond selgitab enda blogipostituses, et turvaauk asetses pistikprogrammi “Email Verification” moodulis. 

Nimelt nõuab moodul enda kasutajatelt pärast saidil registreerimist e-posti kinnitust. Siiski ei teinud moodul vajalikke turvakontrolle, võimaldades ründajatel saata võltsitud kinnitamistaotluse ning logida sisuliselt sisse võltsitud identiteediga.

Pistikprogrammi parandatud versioon on juba välja antud ja Wordfence soovitab selle kasutajatel viivitamatult uuemale versioonile üle minna.