Плагин WooCommerce Payments , который позволяет владельцам магазинов WooCommerce принимать платежи по кредитным и дебетовым картам и управлять транзакциями в панели инструментов WordPress, исправил уязвимость обхода аутентификации и повышения привилегий с оценкой CVSS 9,8 (критический). Плагин активен на более чем 500 000 веб-сайтов.
Бо Лебенс, руководитель отдела разработки WooCommerce, опубликовал сегодня сообщение об уязвимости, которая, по его словам, «может позволить несанкционированный доступ администратора к уязвимым магазинам», если она будет использована. Он был обнаружен исследователем безопасности, участвующим в программе WooCommerce HackerOne.
WooCommerce работала с WordPress.org над выпуском принудительного обновления для сайтов, использующих платежи WooCommerce версий с 4.8.0 по 5.6.1, до исправленных версий. Многие владельцы магазинов отключили автоматические обновления, чтобы обеспечить надлежащее тестирование перед обновлением. Теперь, когда уязвимость стала достоянием общественности, крайне важно, чтобы все магазины, в которых работает плагин версии 4.8.0+, как можно скорее обновились вручную. Сайты WooCommerce, размещенные на WordPress.com, Pressable и WPVIP, уже были исправлены.
В настоящее время у WooCommerce нет никаких доказательств использования уязвимости, но инженеры плагина рекомендуют проверять наличие любых неожиданных пользователей-администраторов или сообщений, добавленных на сайт. В совете содержится дополнительная информация о том, что делать, если вы считаете, что ваш сайт был затронут. В качестве меры предосторожности WooCommerce временно отключила бета-программу WooPay , поскольку уязвимость затрагивает эту новую службу оплаты, которую они тестировали в бета-версии.
