Kwetsbaarheid in de plug-in WordPress WooCommerce Payments

Automattic, de uitgever van de WooCommerce-plug-in, heeft aangekondigd dat ze een kritieke kwetsbaarheid in de WooCommerce Payments-plug-in hebben ontdekt en gepatcht. Door het beveiligingslek kan een aanvaller inloggegevens op beheerdersniveau verkrijgen en de site volledig overnemen. Admin is de hoogste WordPress-gebruikersrol die u volledige toegang geeft tot uw WordPress-site met de mogelijkheid om meer accounts op beheerdersniveau aan te maken, evenals de mogelijkheid om een ​​hele site te verwijderen. Dit beveiligingslek is een groot probleem vanwege het feit dat het toegankelijk is voor niet-geverifieerde aanvallers, wat betekent dat ze niet eerst opnieuw toestemming hoeven te krijgen om de site te manipuleren en de gebruikersrol op beheerdersniveau te verkrijgen.
Wordfence, ontwikkelaar van WordPress-beveiligingsplug-ins, beschreef de kwetsbaarheid als volgt:
“Na het bekijken van de update, ontdekten we dat het kwetsbare code verwijderde die een niet-geverifieerde aanvaller in staat zou stellen zich voor te doen als beheerder en een website volledig over te nemen zonder enige gebruikersinteractie of social engineering.” Het Sucuri Website Security Platform heeft een kwetsbaarheidswaarschuwing uitgegeven met meer details.
Sucuri legt uit dat de kwetsbaarheid in dit bestand zit:

/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php Ze legden ook uit dat de “fix” die door Automattic is geïmplementeerd, het verwijderen van het bestand is.
Sucuri merkt op:
“Op basis van de wijzigingsgeschiedenis van de plug-in lijkt het erop dat het bestand en de functionaliteit ervan gewoon volledig zijn verwijderd…” WooCommerce plaatste een advies op hun website waarin werd uitgelegd waarom ze besloten het getroffen bestand volledig te verwijderen: “Aangezien deze kwetsbaarheid mogelijk ook WooPay, een nieuwe betalingsfactureringsservice tijdens bètatests, hebben we het bètaprogramma tijdelijk uitgeschakeld. Kwetsbaarheid in WooCommerce Payment Plugin 2023 22 maart ontdekt door een externe beveiligingsonderzoeker die rapporteerde aan Automattic. Automatic heeft snel een patch uitgebracht. Details van de kwetsbaarheid zullen in 2023 worden vrijgegeven. 6 april Dit betekent dat elke site die deze plug-in niet heeft bijgewerkt, kwetsbaar wordt.

Welke versie van de WooCommerce Payments plugin kwetsbaar is

WooCommerce heeft de plug-in bijgewerkt naar versie 5.6.2. Dit wordt beschouwd als de meest recente en onbeschadigde versie van de site. Automatic heeft een geforceerde update uitgebracht, maar sommige sites hebben deze mogelijk niet ontvangen. Alle gebruikers van de getroffen plug-in wordt geadviseerd om te controleren of hun installatie is bijgewerkt naar WooCommerce Payments Plugin versie 5.6.2
Na het verhelpen van de kwetsbaarheid raadt WooCommerce de volgende stappen aan:
“Als u de beveiligde versie gebruikt, raden we u aan de site te controleren op onverwachte beheerders of invoer. Als u tekenen van onverwachte activiteit aantreft, raden we u aan: De wachtwoorden van gebruikers van sitebeheerders bij te werken, vooral als ze dezelfde wachtwoorden op meerdere sites hergebruiken. Wijzig alle betalingsgateway en WooCommerce API-sleutels die op uw website worden gebruikt. Hier leest u hoe u uw WooCommerce API-sleutels kunt bijwerken. Raadpleeg de documentatie voor die specifieke plug-ins of services om andere sleutels opnieuw in te stellen.

Lees de WooCommerce kwetsbaarheidsverklaring:

Kritieke kwetsbaarheid gepatcht in WooCommerce-betalingen – wat u moet weten

Relevante berichten