Κυκλοφόρησαν επιδιορθώσεις για ένα κρίσιμο σφάλμα ασφαλείας που επηρεάζει το πρόσθετο WooCommerce Payments για το WordPress, το οποίο είναι εγκατεστημένο σε πάνω από 500.000 ιστότοπους.
Το σφάλμα, αν παραμείνει άλυτο, θα μπορούσε να επιτρέψει σε έναν κακό παράγοντα να αποκτήσει μη εξουσιοδοτημένη πρόσβαση διαχειριστή σε επηρεαζόμενα καταστήματα, ανέφερε η εταιρεία σε συμβουλευτική στις 23 Μαρτίου 2023. Επηρεάζει τις εκδόσεις 4.8.0 έως 5.6.1.
Με άλλα λόγια, το σφάλμα θα μπορούσε να επιτρέψει σε έναν “μη πιστοποιημένο εισβολέα να υποδυθεί έναν διαχειριστή και να αναλάβει πλήρως έναν ιστότοπο χωρίς να απαιτείται καμία αλληλεπίδραση με τον χρήστη ή κοινωνική μηχανική”, δήλωσε η εταιρεία ασφάλειας WordPress Wordfence.
Η ευπάθεια φαίνεται να βρίσκεται σε ένα αρχείο PHP που ονομάζεται “class-platform-checkout-session.php”, σημείωσε ο ερευνητής της Sucuri, Ben Martin.
Ο Michael Mazzolini της ελβετικής εταιρείας δοκιμών διείσδυσης GoldNetwork φέρεται ότι ανακάλυψε το σφάλμα και την αναφορά της ευπάθειας.
Η WooCommerce δήλωσε επίσης ότι συνεργάστηκε με το WordPress για την αυτόματη ενημέρωση των ιστότοπων που χρησιμοποιούν τις επηρεαζόμενες εκδόσεις του λογισμικού. Οι διορθωμένες εκδόσεις περιλαμβάνουν τις 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 και 5.6.2.
Επιπλέον, οι συντηρητές του πρόσθετου ηλεκτρονικού εμπορίου σημείωσαν ότι απενεργοποιούν το πρόγραμμα WooPay beta λόγω ανησυχιών ότι το ελάττωμα ασφαλείας έχει τη δυνατότητα να επηρεάσει την υπηρεσία πληρωμής checkout.
Δεν υπάρχουν ενδείξεις ότι η ευπάθεια έχει γίνει ενεργά αντικείμενο εκμετάλλευσης μέχρι σήμερα, αλλά αναμένεται να χρησιμοποιηθεί ως όπλο σε μεγάλη κλίμακα μόλις γίνει διαθέσιμη μια απόδειξη της αρχής, προειδοποίησε ο ερευνητής της Wordfence Ram Gall.
Εκτός από την ενημέρωση στην πιο πρόσφατη έκδοση, συνιστάται στους χρήστες να ελέγξουν για πρόσφατα προστιθέμενους χρήστες διαχειριστών και, αν ναι, να αλλάξουν όλους τους κωδικούς πρόσβασης των διαχειριστών και να εναλλάξουν τα κλειδιά της πύλης πληρωμών και του API του WooCommerce.
