电商平台插件惊现BUG！购物者竟可自行改价？

WooCommerce是流行的电子商务平台，现有超过一亿五千万次下载，为全球近35％的在线商店提供系统解决方案。

此次出现安全漏洞的是一个多币种插件，该插件允许零售商为全球购物者设置定价。该插件会自动检测客户的地理位置，并通过手动设置汇率或依据当前汇率自动设置，向客户展示所在地的货币定价。

安全漏洞可被恶意CSV文件所利用

据Ninja Technologies报道，该漏洞出现在插件v2.1.17及以下版本，漏洞影响“导入固定价格”功能，该功能允许用户设置自定义价格，从而覆盖任何按汇率自动换算的价格。

黑客可以通过向网站上传一个特别制作的CSV文件来利用该漏洞，该文件使用商品的当前货币价格和产品ID，借此他们能够改变一个或多个产品的价格。

据悉，该漏洞对销售数码产品的网店影响极大。由于黑客不会直接在后台更改产品价格，店铺运营人员不太可能立即发现异常，因此验证每个订单是很重要的。

同时，为了避免受到影响，网站管理员应该更新该插件到最新版本v2.1.18，该版本增加了安全补丁来修复漏洞。

网络安全需要引起相关从业者重视

据小编了解，这不是WooCommerce平台插件第一次出现问题。今年7月份，一个欺骗服务器执行恶意SQL命令的漏洞被发现，该漏洞允许未经认证的黑客从网店的数据库中窃取客户数据，银行卡和员工凭证等信息。

8月下旬，该平台一款动态定价和折扣插件的安全漏洞也被披露，该漏洞允许未经身份验证的黑客将恶意代码注入运行未修复版本插件的网站。该漏洞会导致各种攻击，包括将网站重新定向到钓鱼页面，在产品页面插入恶意脚本等等。

互联网时代信息安全问题很重要，对于电商从业者来说更是如此。小编在此也温馨提示相关卖家，一定要从正规平台购买运营插件，多关注店铺运营情况以及平台新闻，以避免不必要损失。