Noticias
Discount Rules para WooCommerce, tercera actualización en un mes
Una de las múltiples ventajas de WooCommerce es que, gracias a complementos como Discount Rules, es posible ampliar sus funciones y, de este modo, poder crear la tienda online que se ajuste como un guante a las necesidades concretas de cada comercio. Desde sistemas de pagos hasta gestión de descuentos, pasando por automatización de envíos para compras físicas, cupones de descuento, etcétera. Las posibilidades son tan, tan amplias, que intentar enumerarlas todas puede tomarse bastante, bastante tiempo.
El problema, claro, es que cada plugin incrementa la superficie de exposición del sitio en el que se integra, y si la seguridad de cualquiera de estos componentes no es la adecuada, la seguridad de todo el sitio se ve comprometida. Así, problemas como el de Discount Rules, son especialmente preocupantes, y nos demuestran que la velocidad de respuesta no es el único factor que hay que tener en cuenta a la hora de atacar a un problema de seguridad.
Discount Rules es un plugin para WooCommerce que permite crear todo tipo de descuentos en una tienda online: por volumen, dinámicos, basados en la compra de otros productos, de valor fijo o porcentual… una herramienta, sin duda, tremendamente práctica, razón por la que actualmente se cuentan más de 40.000 instalaciones de Discount Rules.
El problema es que el 20 de agosto, la compañía de seguridad WordFence detectó varias vulnerabilidades en Discount Rules. Como respuesta a las mismas, añadió algunas reglas al firewall integrado en su plugin para WordPress durante ese día y los siguientes. En una respuesta también bastante rápida, los responsables del plugin publicaron el 22 de agosto una actualización que, en teoría, corregía todos los problemas detectados y, por lo tanto, volvía a ser seguro.
Desgraciadamente resultó no ser así, de modo que los creadores de Discount Rules se vieron obligados a publicar una nueva actualización el 2 de septiembre con la que esperaban, esta vez sí, solucionar el problema… pero de nuevo fue una intentona fallida, de modo que como hemos sabido hoy por Security Affairs, sus desarrolladores han tenido que publicar una nueva actualización, la 2.2.1, pidiendo a sus usuarios que se actualicen a la mayor brevedad.
Las vulnerabilidades detectadas en primera instancia estaban relacionadas con AJAX, y permitían a cualquier usuario que accediera a una tienda con Discount Rules modificar las reglas de los descuentos accediendo a cualquier cupón, sin importar sus limitaciones. Este problema fue parcheado, pero como solo se revisó parte del código, la más actual, el falló quedó todavía presente en una versión más antigua del mismo, que también se instala con el plugin, y que podía ser invocada mediante determinados parámetros.
Esto, como decía al principio, nos recuerda una vez más que la velocidad es importante, pero no es un factor clave. Por actuar con un exceso de premura, los responsables de Discount Rules se han visto obligados a publicar tres actualizaciones de seguridad en un mes. Ahora, esta vez sí, parece que el problema ya está resuelto. Pero, claro, todavía habrá que esperar unas semanas hasta estar seguros de que el problema ha desaparecido por completo.