Gli specialisti della sicurezza informatica segnalano il rilevamento di una grave vulnerabilità in WooCommerce e Multi Currency, due popolari plugin di WordPress. Secondo il rapporto, lo sfruttamento riuscito della vulnerabilità consentirebbe agli attori delle minacce di modificare il prezzo di un prodotto sulle piattaforme di e-commerce.
In realtà questo plugin è composto da due elementi. Mentre WooCommerce è un plug-in per siti di e-commerce, Multi Currency consente ai siti Web che utilizzano WooCommerce di impostare automaticamente i prezzi per gli acquirenti al di fuori del paese.
Multi Currency, sviluppato da Envato, determina la posizione geografica dell’utente e visualizza i prezzi dei prodotti nella valuta del paese corrispondente e il tasso di cambio aggiornato.
Il rapporto, pubblicato da Ninja Technologies Network , descrive il bug come una vulnerabilità di controllo degli accessi imperfetta nelle versioni 2.1.17 e precedenti, che ha un impatto diretto sulla funzione “Importa prezzo fisso” di Multi Currency, che consente ai siti Web di impostare prezzi personalizzati. In altre parole, gli aggressori potrebbero sovrascrivere il prezzo di qualsiasi prodotto, che verrà calcolato da Multi Currency.
Un attore di minacce che vuole sfruttare il problema dovrebbe caricare solo un file CSV appositamente predisposto sul sito Web di destinazione, che utilizza la valuta corrente del prodotto e la sua chiave di identificazione. Con questo, gli hacker saranno in grado di modificare il prezzo di qualsiasi prodotto sui siti di e-commerce.
Il rapporto aggiunge che un attacco potrebbe rivelarsi particolarmente dannoso per le piattaforme che vendono prodotti digitali, poiché gli hacker potrebbero modificare il prezzo di qualsiasi articolo, scaricare il prodotto acquistato e cancellarne le impronte digitali prima che la piattaforma interessata rilevi l’attività dannosa.
Per prevenire questo tipo di attacco, gli amministratori del sito di e-commerce possono verificare ogni ordine, poiché questo hack non altera il prezzo degli articoli sul back-end, rivelando immediatamente attività dannose. Tuttavia, la raccomandazione principale è di aggiornare alla v2.1.18, l’ultima versione del plugin, per mitigare completamente il rischio di sfruttamento.