Especialistas en ciberseguridad reportan la detección de una vulnerabilidad en WooCommerce y Multi Currency, dos populares plugins de WordPress. Acorde al reporte, la explotación exitosa de la vulnerabilidad permitiría a los actores de amenazas cambiar el precio de un producto en plataformas de e-commerce.
En realidad este plugin está compuesto por dos elementos. Mientras que WooCommerce es un plugin para sitios e-commerce, Multi Currency permite a los sitios web que usan WooCommerce fijar precios para compradores fuera del país de forma automática.
Multi Currency, desarrollado por Envato, determina la ubicación geográfica del usuario y muestra los precios de los productos en la moneda del país correspondiente y al tipo de cambio actualizado.
El reporte, publicado por Ninja Technologies Network, describe el error como una vulnerabilidad de control de acceso fallido en las versiones 2.1.17 y anteriores, impactando directamente a la función de “Importar precio fijo” de Multi Currency, que permite que los sitios web establezcan precios personalizados. En otras palabras, los atacantes podrían sobrescribir el precio de cualquier producto, que será calculado por Multi Currency.
Un actor de amenazas que desee explotar el problema solo debe cargar un archivo CSV especialmente diseñado al sitio web objetivo, que utiliza la moneda actual del producto y su clave de identificación. Con esto, los hackers podrán cambiar el precio de cualquier producto en sitios web e-commerce.
El reporte agrega que un ataque podría resultar especialmente perjudicial para las plataformas que venden productos digitales, ya que los hackers podrían cambiar el precio de cualquier artículo, descargar el producto adquirido y borrar sus huellas antes de que la plataforma afectada siquiera detecte la actividad maliciosa.
Para prevenir esta clase de ataque, los administradores de sitios web e-commerce pueden verificar cada pedido, ya que este hack no altera el precio de los artículos en el backend, revelando de inmediato la actividad maliciosa. No obstante, la principal recomendación es actualizar a v2.1.18, la más reciente versión del plugin, para mitigar por completo el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.