Foram lançados patches para uma falha de segurança crítica que afeta o plugin WooCommerce Payments para WordPress, que está instalado em mais de 500.000 websites.
Primeiramente, se não for resolvida, a falha pode permitir que um ator mau tenha acesso não autorizado a lojas impactadas. Ela impacta as versões 4.8.0 a 5.6.1.
Do mesmo modo, a questão poderia permitir que um “atacante não autenticado se fizesse passar por um administrador e assumisse completamente um website sem qualquer interação do usuário ou engenharia social necessária”, disse a empresa de segurança WordPress Wordfence.
Origem da falha de segurança
A princípio, a vulnerabilidade parece residir em um arquivo PHP chamado “class-platform-checkout-session.php”, observou o pesquisador da Sucuri Ben Martin.
Em seguida, creditando Michael Mazzolini, responsável pelos testes de penetração da empresa suíça GoldNetwork, por descobrir e relatar a vulnerabilidade.
Versões do WordPress afetadas
WooCommerce também disse que trabalhou com o WordPress para atualizar automaticamente os sites usando as versões afetadas do software. As versões corrigidas incluem 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2, e 5.6.2.
Além disso, os mantenedores do plugin de comércio eletrônico observaram que ele está desativando o programa beta WooPay devido à preocupação de que o defeito de segurança tenha o potencial de afetar o serviço de checkout de pagamento.
Até o momento, não se tem evidências de que a vulnerabilidade esteja sendo explorada ativamente, mas espera-se que seja explorada em larga escala assim que uma prova de conceito estiver disponível, conforme advertido pelo pesquisador da Wordfence Ram Gall
Mais recomendações para quem utiliza o WooCommerce Payments
Além de atualizar para a versão mais recente, recomenda-se aos usuários que verifiquem os usuários administrativos recém-adicionados. Em caso positivo, alterem todas as senhas de administrador e girem o gateway de pagamento e as chaves API do WooCommerce.
Você utiliza o WooCommerce Payments, se sim já fez sua atualização para evitar a corrigir a falha de segurança?