Una vulnerabilità critica nel plug-in open source WooCommerce Payments per WordPress potrebbe consentire agli aggressori di impersonare qualsiasi utente sul sito e potenzialmente assumere il controllo degli account di amministratore del sito.
Sviluppato da Automattic e installato su oltre 500.000 siti Web, il Pagamenti WooCommerce plugin è una soluzione di pagamento completamente integrata per WooCommerce che fornisce la gestione delle transazioni direttamente dalla dashboard del negozio.
Giovedì, Automattic ha aggiornato WooCommerce Payments alla versione 5.6.2 per risolvere una vulnerabilità di escalation dei privilegi che potrebbe consentire a un utente malintenzionato non autenticato di ottenere il controllo dell’account di un amministratore e assumere completamente il controllo di un sito Web vulnerabile.
“Ciò potrebbe consentire a un utente malintenzionato di aumentare i propri privilegi di ospite abituale ai privilegi di un amministratore e sfruttare ulteriormente il sito web. Dato che questa vulnerabilità non richiede autenticazione, è molto probabile che venga sfruttata in massa molto presto”, afferma an consultivo dalla società di sicurezza WordPress Patchstack.
Secondo Il team Wordfence di Defiantil problema esiste nella “funzionalità progettata per integrarsi con la piattaforma di pagamento WooCommerce”. Non sono stati rilasciati ulteriori dettagli sul difetto di sicurezza, dato che è classificato di “gravità critica” (punteggio CVSS di 9,8).
Segnalata da Michael Mazzolini di GoldNetwork, la vulnerabilità potrebbe potenzialmente avere un impatto sul nuovo servizio di pagamento WooPay di WooCommerce (attualmente in beta testing). Il programma beta è stato temporaneamente disabilitato.
Per i siti che eseguono WooCommerce Payments dalla versione 4.8.0 alla versione 5.6.1 ospitati su WordPress.com, verranno implementati gli aggiornamenti automatici. Gli amministratori di tutti gli altri siti Web WordPress che utilizzano una versione di plug-in vulnerabile devono aggiornare manualmente le proprie installazioni.
“Tutti i siti Web con WooCommerce Payments 4.8.0 e versioni successive installati e attivati sul proprio sito, che non sono ospitati su WordPress.com e che non sono stati aggiornati a una versione con patch, sono ancora potenzialmente vulnerabili a questo problema”, ha affermato il team di WooCommerce.
WooCommerce afferma di non avere attualmente prove che questa vulnerabilità venga sfruttata in attacchi o che i dati del negozio o dei clienti potrebbero essere stati compromessi a causa di ciò.
Imparentato: Vulnerabilità nel tema immobiliare popolare sfruttata per hackerare siti Web WordPress
Imparentato: Vulnerabilità critica nelle carte regalo premium. Plugin WordPress sfruttato negli attacchi
Imparentato: Siti WordPress compromessi tramite vulnerabilità zero-day nel plug-in WPGateway