Een zogenaamde cross site scripting (XSS) fout is gerapporteerd voor de premium WooCommerce plugin ‘Product Vendors‘. Deze plugin wordt door zo’n 28% van alle WooCommerce webshops gebruikt. De fout komt voor in versie 2.0.35. De huidige versie is 2.0.40. Klanten van EMAKERS met een servicecontract maakten reeds gebruik van de laatste technologie en hoeven dus niets te vrezen.

Cross-site scripting is een beveiligingsfout waarbij de invoer van de website (zoals een cookie of het internetadres) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Deze fout stelt hackers in staat kwaadaardige code te injecteren, waardoor onbedoelde acties voor een gebruiker worden uitgevoerd op de website.

Gebruikers van de ‘Product Vendors‘ plugin worden geadviseerd om direct te upgraden naar ten minste versie 2.0.36. Het beveiligingsrisico is nu bekend en zal snel worden gebruikt door hackers en andere kwaadaardigen.

Klanten van EMAKERS die gebruik maken van WordPress- of WooCommerce-technologie en kiezen voor een servicecontract worden tevens tegen zogenaamde cross site scripting risico’s beschermd met de Wordfence-plugin, die wij standaard voor hen installeren.