Veiligheidsupdate Discount Rules for WooCommerce

Discount Rules for WooCommerce

Op 20 augustus werden er meerdere kwetsbaarheden aangetroffen in de Discount Rules for WooCommerce plugin, die op meer dan 40.000 WordPress websites geïnstalleerd is. Inmiddels is er een update met patch uitgerold. Gebruikers die de plugin nog niet geüpdatet hebben worden dan ook geadviseerd om dit zo snel mogelijk te doen.

Over Discount Rules for WooCommerce

Discount Rules for WooCommerce is een WordPress plugin die fungeert als een add-on voor WooCommerce. Met deze plugin kun je custom regels voor kortingen implementeren, op basis van onder andere producten, categorieën, attributen, gebruikers en aankoopgeschiedenis. Denk bijvoorbeeld aan ‘2 voor de prijs van 1’ kortingen, algemene kortingspercentages en kortingen op basis van het totale bestelbedrag (bestel voor een x bedrag en ontvang 10% korting). De kortingen zijn zichtbaar op de productpagina, in het winkelwagentje, op de check-out pagina en in email notificaties.

de beste en snelste wordpress webhosting

Kwetsbaarheden

De kwetsbaarheden in de plugin stellen kwaadwillenden in staat om alle beschikbare coupons op een site te bekijken en kortingsregels te activeren, te dupliceren en te verwijderen. Daarnaast zijn in elk geval twee acties (savepriceRule en saveCartRule) kwetsbaar voor Cross-Site Scripting (XSS) misbruik, wat uiteindelijk zou kunnen leiden tot overname van de website door hackers.

Update

De kwetsbaarheden werden ontdekt door het Threat Intelligence team van Wordfence, dat ontwikkelaar Flycart op de hoogte bracht. Flycart reageerde vrijwel onmiddellijk en kwam op 22 augustus met een interim patch. Op 2 september werd een meer uitgebreide patch opgeleverd, 7 dagen later gevolgd door een patch die de laatste problemen verhielp. We raden iedereen die gebruik maakt van Discount Rules for WooCommerce aan om te updaten naar de fully patched versie van de plugin, versie 2.2.1. Gebruikers van Wordfence Premium hebben reeds een firewall update gekregen die hen beschermt tegen misbruik via de kwetsbaarheden. Degenen die de gratis versie van Wordfence geïnstalleerd hebben, krijgen deze week nog een firewall update.

 

Lees ook: Veilig WordPress plugins updaten doe je zo!

Eén reactie op “Veiligheidsupdate Discount Rules for WooCommerce”

  1. Math schreef:

    Het blijft me verbazen hoeveel lekken er in WooCommerce plugins zitten.

    WPvulndb.com laat de lekken zien van de afgelopen tijd in WooCommerce plugins, dat zijn er nogal wat: https://wpvulndb.com/search?text=woocommerce

    Voordeel is wel dat iedereen er bovenop zit, diverse beveiligingsbedrijven testen de plugins en melden de lekken netjes aan de pluginbouwers die dan direct aan de slag gaan met het beveiligen van de plugin.

    Hoe-dan-ook als je deze plugin hebt dus maar eventjes kijken naar de orderhistory 😉

Geef een reactie