Компания Automattic, стоящая за разработкой CMS WordPress, принудительно устанавливает обновления на сотни тысяч сайтов, где работает популярная платежная система WooCommerce Payments для интернет-магазинов. Патч устраняет критическую уязвимость, которая позволяет неаутентифицированным злоумышленникам получить административный доступ к уязвимым ресурсам.

Уязвимость была обнаружена экспертам из компании GoldNetwork, и сообщается, что она влияет на WooCommerce Payments версии 4.8.0 и выше.

WordFence предупреждает, что неаутентифицированные злоумышленники могут использовать эту проблему, чтобы «выдать себя за администратора и полностью захватить сайт без какого-либо взаимодействия с пользователем или социальной инженерии». Так как эксплуатация бага не требует аутентификации, весьма вероятно, что скоро атаки на эту уязвимость станут массовыми.

Команда WooCommerce исправила баг в обновлениях, выпущенных 23 марта, и сообщает, что пока не обнаружила никаких признаков того, что критическая ошибка уже используется хакерами.

«Мы немедленно деактивировали затронутые сервисы и устранили проблему для всех сайтов, размещенных на WordPress.com, Pressable и WPVIP», — сообщают в WooCommerce.

В настоящее время уязвимые интернет-магазины, размещенные на WordPress.com, находятся в процессе обновления или уже получили патчи.

«Мы подготовили исправление и совместно с командой плагинов WordPress.org работали над автоматическим обновлением сайтов, использующих WooCommerce Payments версий с 4.8.0 по 5.6.1. В настоящее время обновление автоматически распространяется на максимально возможное количество магазинов», — говорят разработчики.

Администраторам, которые размещают WordPress на собственных серверах, придется обновить WooCommerce вручную. Исправленные версии WooCommerce Payments: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 и 5.6.2.

Кроме того, после обновления рекомендуется проверить сайт на наличие признаков возможной компрометации: новых добавленных пользователей-администраторов и подозрительные сообщения.

«Мы рекомендуем изменить любые личные и секретные данные, хранящиеся в вашей базе данных WordPress/WooCommerce. Это могут быть ключи API, приватные или публичные ключи для платежных шлюзов и многое другое, в зависимости от конфигурации вашего магазина», — рекомендуют авторы WooCommerce.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии