Esta vulnerabilidade de nível crítico permite que um atacante comprometa uma loja online.

O plugin designa-se, mais especificamente, por WooCommerce Checkout Manager, o qual estende a funcionalidade do WooCommerce, permitindo assim, por exemplo, personalizar formulários em páginas de checkout. Atualmente é usado por milhares de websites.

A nível técnico, esta vulnerabilidade é de upload de qualquer ficheiro, e pode ser explorada por um atacante não autenticado caso tenha a opção "Categorize Uploaded Files" ativa dentro das configurações do plugin. Desta forma, a vulnerabilidade permite que os atacantes consigam executar código arbitrário do lado do servidor e comprometer a aplicação para aceder e, consequentemente, modificar dados ou ganhar acesso de administrador.

Como não existe ainda uma versão que corrija esta falha, os administradores dos websites devem desabilitar a opção supracitada nas configurações, ou mesmo desabilitar o plugin por completo até que seja lançada uma nova versão corrigida.

Fonte: https://www.webarxsecurity.com/woocommerce-checkout-manager/