Investigadores de Sucuri han identificado una vulnerabilidad de object injection en el plugin WooCommerce para sitios web de WordPress.

El problema, que Sucuri considera peligroso y fácil de explotar, se ha abordado en el WooCommerce versión 2.3.11, pero todas las versiones inferiores que tienen el conjunto de opciones PayPal Identity Token corren el riesgo de comprometer el sitio completo.

"Nos las arreglamos para usar una combinación de WordPress y componentes de WooCommerce con un error de PHP ya conocido (CVE-2013-1643) para descargar los archivos críticos, archivos como wp-config.php. Para los que no lo conocen, este archivo contiene las credenciales de base de datos y claves secretas de WordPress," escribió en un blog el miércoles, Marc-Alexandre Montpas, investigador de vulnerabilidades en Sucuri.

Montpas señaló que existen diferentes tipos de ataque que pueden ser utilizados dependiendo de las extensiones disponibles.