Em 1 de novembro de 2021, a equipe de inteligência do Wordfence iniciou o processo de divulgação responsável por uma vulnerabilidade que foi descoberta no “Preview E-mails for WooCommerce ”, um plugin do WordPress que é uma extensão do WooCommerce, instalado em mais de 20.000 sites. Essa falha possibilitou que um invasor injetasse um JavaScript malicioso em uma página que seria executada se o invasor enganasse o administrador de um site com sucesso, fazendo-o executar uma ação como clicar em um link.
Todos os usuários do Wordfence, incluindo clientes do Wordfence Premium, bem como aqueles que ainda usam a versão gratuita do Wordfence, estão protegidos contra esta vulnerabilidade pela proteção de script entre sites integrada do firewall.
A equipe do Wordfence enviou detalhes completos à equipe do plugin no dia 4 de novembro de 2021, depois que o desenvolvedor confirmou o canal apropriado para lidar com as comunicações. O desenvolvedor reconheceu rapidamente o relatório e lançou um patch em 8 de novembro de 2021.
É altamente recomendável garantir que seu site tenha sido atualizado para a última versão corrigida de “Preview E-mails for WooCommerce”, que é a versão 2.0.1 no momento desta publicação.
Confira mais detalhes sobre a vulnerabilidade no link: https://www.wordfence.com/blog/2021/11/woocommerce-extension-reflected-xss-vulnerability/
Fonte: Wordfence
