Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad en WooCommerce, un plugin para WordPress ampliamente utilizado por pequeñas y grandes compañías de e-commerce. Acorde al reporte, la explotación exitosa permitiría el despliegue de ataques de scripts entre sitios (XSS).
A continuación se presenta un breve resumen de la falla reportada, además de su correspondiente puntaje según el Common Vulnerability Scoring System (CVSS). Esta falla aún no cuenta con una clave de identificación CVSS asignada.
Los expertos indican que una insuficiente desinfección de los datos proporcionados por el usuario en SelectWoo permitiría el despliegue del ataque XSS. Un actor de amenazas remoto no autenticado puede engañar al usuario objetivo para que siga un enlace especialmente diseñado con el fin de ejecutar código HTML arbitrario, además de un script en el navegador de la víctima en el contexto de un sitio web vulnerable.
Un ataque exitoso permitiría a los hackers maliciosos extraer información confidencial del sistema objetivo, modificar la apariencia del sitio web comprometido, realizar ataques que involucren el fraude de identidad, realizar descargas arbitrarias, entre otros ataques.
La falla recibió un puntaje CVSS de 5.3/10, por lo que se le considera un error de severidad media. Los investigadores mencionan que, si bien la falla podría ser explotada por un actor de amenazas remoto no autenticado, hasta el momento no se ha detectado la existencia de un exploit asociado al ataque o intentos de explotación en escenarios reales.
Los desarrolladores de WooCommerce reconocieron el reporte y comenzaron a trabajar en las actualizaciones correspondientes de inmediato. Las correcciones ya están disponibles, por lo que los usuarios de implementaciones afectadas sólo deben verificar su correcta instalación. Se desconoce la existencia de soluciones alternativas, por lo que se recomienda a los usuarios instalar las actualizaciones oficiales.
Esta vulnerabilidad se encuentra en las siguientes versiones de WooCommerce: 1.0, 1.0.1, 1.0.2, 1.0.3, 1.1, 1.1.1, 1.1.2, 1.1.3, 1.2, 1.2.1, 1.2.2, 1.2.3, 1.2.4, 1.3, 1.3.1, 1.3.2, 1.4, 1.4.1, 1.4.2, 1.4.3, 1.4.4, 1.5, 1.5.1, 1.5.2, 1.5.2.1, 1.5.3, 1.5.4, 1.5. 5, 1.5.6, 1.5.7, 1.5.7.1, 1.5.8, 1.6, 1.6.0, 1.6.1, 1.6.2, 1.6.3, 1.6.4, 1.6.5, 1.6.5.1, 1.6. 5.2, 1.6.6, 2.0, 2.0.0, 2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5, 2.0.6, 2.0.7, 2.0.8, 2.0.9, 2.0. 10, 2.0.11, 2.0.12, 2.0.13, 2.0.14, 2.0.15, 2.0.16, 2.0.17, 2.0.18, 2.0.19, 2.0.20, 2.1.0, 2.1.1, 2.1.2, 2.1.3, 2.1.4, 2.1.5, 2.1.6, 2.1.7, 2.1.8, 2.1.9, 2.1.10, 2.1.11, 2.1.12, 2.2, 2.2.0, 2.2.1, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.7, 2.2.8, 2.2.9, 2.2.10, 2.2.11, 2.3.0, 2.3. 1, 2.3.2, 2.3.3, 2.3.4, 2.3.5, 2.3.6, 2.3.7, 2.3.8, 2.3.9, 2.3.10, 2.3.11, 2.3.12, 2.3.13, 2.4.0, 2.4.1, 2.4.2, 2.4.3, 2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8, 2.4.9, 2.4.10, 2.4.11, 2.4. 12, 2.4.13, 2.5.0, 2.5.1, 2.5.2, 2.5.3, 2.5.4, 2.5.5, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 2.6.7, 2.6.8, 2.6.9, 2.6.10, 2.6.11, 2.6.12, 2.6.13, 2.6 .14, 2.7.0, 3.0.0, 3.0.1, 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.0.9, 3.1.0 , 3.1.1, 3.1.2, 3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.2.4, 3.2.5, 3.2.6, 3.3.0, 3.3.1, 3.3.2, 3.3 .3, 3.3.4, 3.3.5, 3.4.0, 3.4.1, 3.4.2, 3.4.3, 3.4.4, 3.4.5, 3.4.6, 3.4.7, 3.5.0, 3.5.1 , 3.5.2, 3.5.3, 3.5.4, 3.5.5, 3.5.6, 3.5.7, 3.5.8, 3.6.0, 3.6.1, 3.6.2, 3.6.3, 3.6.4, 3.6 .5, 3.7.0, 3.7.1, 3.8.0, 3.8.1, 3.9.0, 3.9.1, 3.9.2, 3.9.3, 4.0.0, 4.0.1, 4.1.0, 4.1.1 y 4.2.0.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.