Sono state rilasciate patch per una falla di sicurezza critica che ha interessato il plugin WooCommerce Payments per WordPress, installato su oltre 500.000 siti web.
La falla, se lasciata irrisolta, potrebbe consentire a un malintenzionato di ottenere accesso amministrativo non autorizzato ai negozi interessati, ha affermato la società in un avviso il 23 marzo 2023. Interessa le versioni dalla 4.8.0 alla 5.6.1.
In altre parole, il problema potrebbe consentire a un “aggressore non autenticato di impersonare un amministratore e assumere completamente il controllo di un sito Web senza alcuna interazione da parte dell’utente o richiesta di ingegneria sociale”, ha affermato la società di sicurezza WordPress Wordfence. disse.
La vulnerabilità sembra risiedere in un file PHP chiamato “class-platform-checkout-session.php”, ha spiegato Ben Martin, ricercatore di Sucuri. notato.
Il merito di aver scoperto e segnalato la vulnerabilità è Michael Mazzolini della società svizzera di penetration testing GoldNetwork.
Anche WooCommerce disse funzionava con WordPress per aggiornare automaticamente i siti utilizzando le versioni interessate del software. Versioni patchate includono 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 e 5.6.2.
Inoltre, i manutentori del plugin di e-commerce hanno notato che sta disabilitando il programma beta WooPay a causa del timore che il difetto di sicurezza possa potenzialmente avere un impatto sul servizio di pagamento.
Non ci sono prove che la vulnerabilità sia stata sfruttata attivamente fino ad oggi, ma si prevede che verrà utilizzata come arma su larga scala una volta che sarà disponibile una prova di concetto, ha avvertito il ricercatore di Wordfence Ram Gall.
Oltre all’aggiornamento alla versione più recente, si consiglia agli utenti di verificare la presenza di utenti amministratori appena aggiunti e, in tal caso, di modificare tutte le password dell’amministratore e di ruotare il gateway di pagamento e le chiavi API WooCommerce.