Automattic, editori del plug-in WooCommerce, ha annunciato la scoperta e la patch di una vulnerabilità critica nel plug-in WooCommerce Payments.
La vulnerabilità consente a un utente malintenzionato di ottenere credenziali a livello di amministratore ed eseguire un'acquisizione completa del sito.
L'amministratore è il ruolo utente con autorizzazione più elevata in WordPress, che garantisce l'accesso completo a un sito WordPress con la possibilità di creare più account a livello di amministratore e la possibilità di eliminare l'intero sito web.
Ciò che rende questa particolare vulnerabilità di grande preoccupazione è che è disponibile per gli aggressori non autenticati, il che significa che non devono prima acquisire un'altra autorizzazione per manipolare il sito e ottenere un ruolo utente a livello di amministratore.
Il produttore di plugin di sicurezza di WordPress, Wordfence, ha descritto questa vulnerabilità:
"Dopo aver esaminato l'aggiornamento, abbiamo stabilito che ha rimosso il codice vulnerabile che potrebbe consentire a un utente malintenzionato non autenticato di impersonare un amministratore e assumere completamente il controllo di un sito Web senza alcuna interazione dell'utente o ingegneria sociale richiesta".
La piattaforma di sicurezza del sito Web Sucuri ha pubblicato un avviso sulla vulnerabilità che entra in ulteriori dettagli.
Sucuri spiega che la vulnerabilità sembra essere nel seguente file:
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
Hanno anche spiegato che la "correzione" implementata da Automattic consiste nel rimuovere il file.
Sucuri osserva:
"Secondo la cronologia delle modifiche del plug-in, sembra che il file e la sua funzionalità siano stati semplicemente rimossi del tutto..."
Il sito Web di WooCommerce ha pubblicato un avviso che spiega perché hanno scelto di rimuovere completamente il file interessato:
"Poiché questa vulnerabilità aveva anche il potenziale per avere un impatto su WooPay, un nuovo servizio di verifica dei pagamenti in beta test, abbiamo temporaneamente disabilitato il programma beta."
La vulnerabilità del plug-in di pagamento WooCommerce è stata scoperta il 22 marzo 2023 da un ricercatore di sicurezza di terze parti che ha informato Automattic.
Automattic ha rapidamente rilasciato una patch.
I dettagli della vulnerabilità verranno rilasciati il 6 aprile 2023.
Ciò significa che qualsiasi sito che non ha aggiornato questo plugin diventerà vulnerabile.
Quale versione del plug-in WooCommerce Payments è vulnerabile
WooCommerce ha aggiornato il plugin alla versione 5.6.2. Questa è considerata la versione più aggiornata e non vulnerabile del sito web.
Automattic ha inviato un aggiornamento forzato, tuttavia è possibile che alcuni siti non lo abbiano ricevuto.
Si consiglia a tutti gli utenti del plug-in interessato di verificare che le loro installazioni siano aggiornate alla versione WooCommerce Payments Plugin 5.6.2
Una volta che la vulnerabilità è stata corretta, WooCommerce consiglia di intraprendere le seguenti azioni:
“Una volta eseguita una versione sicura, ti consigliamo di verificare la presenza di eventuali utenti amministratori o post imprevisti sul tuo sito. Se trovi prove di attività impreviste, ti suggeriamo di:
Aggiornare le password per tutti gli utenti amministratori del tuo sito, soprattutto se riutilizzano le stesse password su più siti web.
Rotazione di qualsiasi chiave API di Payment Gateway e WooCommerce utilizzata sul tuo sito. Ecco come aggiornare le tue chiavi API WooCommerce. Per reimpostare altre chiavi, consultare la documentazione per quei plug-in o servizi specifici.
Leggi la spiegazione della vulnerabilità di WooCommerce:
Vulnerabilità critica corretta nei pagamenti WooCommerce: cosa devi sapere
