WooCommerce Payments: Falha crítica atinge mais de 500.000 sites

Plugin WooCommerce para WordPress

Foram lançados patches para uma falha de segurança crítica que afeta o plugin WooCommerce Payments para WordPress, que está instalado em mais de 500.000 websites.

Primeiramente, se não for resolvida, a falha pode permitir que um ator mau tenha acesso não autorizado a lojas impactadas. Ela impacta as versões 4.8.0 a 5.6.1.

Do mesmo modo, a questão poderia permitir que um “atacante não autenticado se fizesse passar por um administrador e assumisse completamente um website sem qualquer interação do usuário ou engenharia social necessária”, disse a empresa de segurança WordPress Wordfence.

Origem da falha de segurança

A princípio, a vulnerabilidade parece residir em um arquivo PHP chamado “class-platform-checkout-session.php”, observou o pesquisador da Sucuri Ben Martin.

Em seguida, creditando Michael Mazzolini, responsável pelos testes de penetração da empresa suíça GoldNetwork, por descobrir e relatar a vulnerabilidade.

Versões do WordPress afetadas

WooCommerce também disse que trabalhou com o WordPress para atualizar automaticamente os sites usando as versões afetadas do software. As versões corrigidas incluem 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2, e 5.6.2.

Além disso, os mantenedores do plugin de comércio eletrônico observaram que ele está desativando o programa beta WooPay devido à preocupação de que o defeito de segurança tenha o potencial de afetar o serviço de checkout de pagamento.

Até o momento, não se tem evidências de que a vulnerabilidade esteja sendo explorada ativamente, mas espera-se que seja explorada em larga escala assim que uma prova de conceito estiver disponível, conforme advertido pelo pesquisador da Wordfence Ram Gall

Mais recomendações para quem utiliza o WooCommerce Payments

Além de atualizar para a versão mais recente, recomenda-se aos usuários que verifiquem os usuários administrativos recém-adicionados. Em caso positivo, alterem todas as senhas de administrador e girem o gateway de pagamento e as chaves API do WooCommerce.

Você utiliza o WooCommerce Payments, se sim já fez sua atualização para evitar a corrigir a falha de segurança?

 

Fonte: Critical Vulnerability Patched in WooCommerce Payments – What You Need to Know – Develop with WooCommerce

Related posts

Microsoft Exchange: Nova vulnerabilidade pode afetar 97.000 servidores

Microsoft Outlook: Especialistas detalham exploits RCE de clique-zero

Mais de 20 organizações foram invadidas por Bug do Azure AD