Компания Automattic, издатель плагина WooCommerce, объявила об обнаружении и исправлении критической уязвимости в плагине WooCommerce Payments.
Уязвимость позволяет злоумышленнику получить учетные данные уровня администратора и полностью захватить сайт.
Администратор — это роль пользователя с наивысшими правами доступа в WordPress, предоставляющая полный доступ к сайту WordPress с возможностью создания дополнительных учетных записей уровня администратора, а также с возможностью удаления всего веб-сайта.
Что делает эту конкретную уязвимость серьезной, так это то, что она доступна для злоумышленников, не прошедших проверку подлинности, а это означает, что им не нужно сначала получать другое разрешение, чтобы манипулировать сайтом и получить роль пользователя уровня администратора.
Производитель плагинов безопасности WordPress Wordfence описал эту уязвимость:
«После проверки обновления мы определили, что оно удалило уязвимый код, который мог позволить злоумышленнику, не прошедшему проверку подлинности, выдать себя за администратора и полностью захватить веб-сайт без какого-либо взаимодействия с пользователем или социальной инженерии».
Платформа безопасности веб-сайта Sucuri опубликовал предупреждение об уязвимости, которая входит в дальнейшие подробности.
Сукури объясняет, что уязвимость, по-видимому, находится в следующем файле:
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
Они также объяснили, что «исправление», реализованное Automattic, заключается в удалении файла.
Наблюдаемые соки:
«Согласно истории изменений плагина, похоже, что файл и его функциональность были просто полностью удалены…»
Веб-сайт WooCommerce опубликовал рекомендацию, объясняющую, почему они решил полностью удалить затронутый файл:
«Поскольку эта уязвимость также могла повлиять на WooPay, новую службу проверки платежей, находящуюся в стадии бета-тестирования, мы временно отключили бета-программу».
Уязвимость платежного плагина WooCommerce была обнаружена 22 марта 2023 года сторонним исследователем безопасности, который уведомил Automattic.
Automattic быстро выпустила патч.
Подробности об уязвимости будут опубликованы 6 апреля 2023 года.
Это означает, что любой сайт, который не обновил этот плагин, станет уязвимым.
Какая версия платежного плагина WooCommerce уязвима
WooCommerce обновил плагин до версии 5.6.2. Это считается самой актуальной и неуязвимой версией веб-сайта.
Automattic отправил принудительное обновление, однако возможно, что некоторые сайты его не получили.
Всем пользователям уязвимого плагина рекомендуется убедиться, что их установки обновлены до версии WooCommerce Payments Plugin 5.6.2.
После устранения уязвимости WooCommerce рекомендует предпринять следующие действия:
«После того, как вы запустите безопасную версию, мы рекомендуем проверить наличие любых неожиданных пользователей или сообщений администратора на вашем сайте. Если вы обнаружите какие-либо признаки неожиданной активности, мы предлагаем:
Обновление паролей для любых пользователей-администраторов на вашем сайте, особенно если они повторно используют одни и те же пароли на нескольких сайтах.
Ротация любых ключей платежного шлюза и WooCommerce API, используемых на вашем сайте. Вот как обновить ключи API WooCommerce. Для сброса других ключей обратитесь к документации для этих конкретных плагинов или сервисов».
Прочтите объяснение уязвимости WooCommerce:
Критическая уязвимость исправлена в платежах WooCommerce — что вам нужно знать
