Automattic, editori del WooCommerce plugin, ha annunciato la scoperta e la patch di una vulnerabilità critica nel plugin WooCommerce Payments.
La vulnerabilità consente a un utente malintenzionato di ottenere credenziali di livello amministratore ed eseguire un’acquisizione completa del sito.
L’amministratore è il ruolo utente con i permessi più elevati in WordPress, che garantisce l’accesso completo a un sito WordPress con la possibilità di creare più account a livello di amministratore nonché la possibilità di eliminare l’intero sito Web.
Ciò che rende questa particolare vulnerabilità di grande preoccupazione è che è disponibile per aggressori non autenticati, il che significa che non devono prima acquisire un’altra autorizzazione per manipolare il sito e ottenere il ruolo utente a livello di amministratore.
Creatore di plugin di sicurezza per WordPress Wordfence ha descritto questa vulnerabilità:
“Dopo aver esaminato l’aggiornamento abbiamo stabilito che rimuoveva il codice vulnerabile che poteva consentire a un utente malintenzionato non autenticato di impersonare un amministratore e assumere completamente il controllo di un sito Web senza alcuna interazione da parte dell’utente o richiesta di ingegneria sociale.”
La piattaforma di sicurezza del sito web Sucuri ha pubblicato un avviso sulla vulnerabilità che entra in ulteriori dettagli.
Sucuri spiega che la vulnerabilità sembra essere nel seguente file:
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
Hanno anche spiegato che la “correzione” implementata da Automattic consiste nel rimuovere il file.
Succhi osservati:
“Secondo la cronologia delle modifiche del plugin sembra che il file e la sua funzionalità siano stati semplicemente rimossi del tutto…”
Il sito web WooCommerce ha pubblicato un avviso che spiega perché ha scelto di rimuovere completamente il file interessato:
“Poiché questa vulnerabilità potrebbe avere un impatto anche su WooPay, un nuovo servizio di pagamento in fase di beta testing, abbiamo temporaneamente disabilitato il programma beta.”
La vulnerabilità del plugin di pagamento WooCommerce è stata scoperta il 22 marzo 2023 da un ricercatore di sicurezza di terze parti che ha informato Automattic.
Automattic ha rilasciato rapidamente una patch.
I dettagli della vulnerabilità verranno rilasciati il 6 aprile 2023.
Ciò significa che qualsiasi sito che non ha aggiornato questo plugin diventerà vulnerabile.
Quale versione del plugin WooCommerce Payments è vulnerabile
WooCommerce ha aggiornato il plugin alla versione 5.6.2. Questa è considerata la versione più aggiornata e non vulnerabile del sito web.
Automattic ha inviato un aggiornamento forzato, tuttavia è possibile che alcuni siti non lo abbiano ricevuto.
Si consiglia a tutti gli utenti del plugin interessato di verificare che le proprie installazioni siano aggiornate alla versione WooCommerce Payments Plugin 5.6.2
Una volta risolta la vulnerabilità, WooCommerce consiglia di intraprendere le seguenti azioni:
“Una volta che utilizzi una versione sicura, ti consigliamo di verificare la presenza di eventuali utenti amministratori o post inattesi sul tuo sito. Se trovi prove di attività inaspettata, ti suggeriamo di:
Aggiornamento delle password per tutti gli utenti amministratori del tuo sito, soprattutto se riutilizzano le stesse password su più siti web.
Rotazione di qualsiasi gateway di pagamento e chiave API WooCommerce utilizzata sul tuo sito. Ecco come aggiornare le tue chiavi API WooCommerce. Per reimpostare altre chiavi, consultare la documentazione per quei plugin o servizi specifici.
Leggi la spiegazione della vulnerabilità di WooCommerce:
Vulnerabilità critica corretta nei pagamenti WooCommerce: cosa devi sapere