Remote-Lücke aus WordPress-Plugin "Discount Rules for WooCommerce" beseitigt
Wer das Plugin erst vor ein paar Wochen aktualisiert hat, sollte den Update-Prozess nochmals anwerfen: Die Entwickler haben eine weitere Lücke geschlossen.
Die aktuelle Version des Plugins "Discount Rules for WooCommerce", das dem Festlegen und Verwalten von Preisnachlässen in Verbindung mit dem populären E-Commerce-Plugin WooCommerce dient, beseitigt eine Angriffsmöglichkeit via Cross-Site-Scripting.
Über die Sicherheitslücke, der ihre Entdecker vom Wordfence-Team den CVSS-Score 7.4 ("High") zugewiesen haben, ist Remote Code Execution möglich. Erst vor gut drei Wochen wurde eine ganz ähnliche Lücke aus dem WordPress-Plugin beseitigt.
Details zur aktuellen Lücke nennt ein Wordfence-Blogpost, der als verwundbare Versionen alle Plugin-Ausgaben vor 2.2.1 aufführt. Wer die aktuelle WordPress-Version 5.5 nutzt, kann diese dank entsprechender CMS-Neuerungen auch so konfigurieren, dass Plugins und Design-Vorlagen automatische Updates erhalten.
(ovw)