WordPress принудительно обновляет плагин WooCommerce Payments с 500 000 установок

Опубликовано автором

Automattic, компания, разработавшая WordPress CMS, принудительно обновляет сотни тысяч сайтов с помощью популярной платежной системы WooCommerce Payments для интернет-магазинов. Этот патч устраняет критическую уязвимость, которая позволяет злоумышленникам, не прошедшим проверку подлинности, получить административный доступ к конфиденциальным ресурсам.

Уязвимость была обнаружена экспертами GoldNetwork и, как сообщается, затрагивает WooCommerce Payments версии 4.8.0 и выше.

Вордпресс ПредупреждатьЧто злоумышленники, не прошедшие проверку подлинности, могут использовать эту проблему, чтобы «выдать себя за администратора и полностью захватить сайт без какого-либо взаимодействия с пользователем или социальной инженерии». Поскольку эксплуатация этой ошибки не требует аутентификации, весьма вероятно, что атаки на эту уязвимость вскоре станут массовыми.

В команде WooCommerce исправлена ​​ошибка v ОбновленияВыпущено 23 марта и сообщает, что пока не обнаружено никаких признаков того, что критическая ошибка уже использовалась хакерами.

«Мы немедленно деактивировали затронутые службы и исправили проблему для всех сайтов, размещенных на WordPress.com, Pressable и WPVIP», — говорится в сообщении WooCommerce.

В настоящее время уязвимые интернет-магазины, размещенные на WordPress.com, находятся в процессе обновления или уже получили исправления.

«Мы подготовили исправление и работали с командой плагинов WordPress.org для автоматического обновления сайтов с использованием WooCommerce Payments версий с 4.8.0 по 5.6.1. В настоящее время обновление автоматически распространяется на максимально возможное количество магазинов», — сообщают разработчики. .

Администраторам, которые размещают WordPress на своих серверах, потребуется обновить WooCommerce вручную. Исправлены версии платежей WooCommerce: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 и 5.6.2.

Кроме того, после обновления рекомендуется проверить сайт на наличие признаков возможной компрометации: новых пользователей-админов и подозрительных сообщений.

«Мы рекомендуем изменить любые личные и конфиденциальные данные, хранящиеся в вашей базе данных WordPress / WooCommerce. Это могут быть ключи API, закрытые или открытые ключи для платежных шлюзов и многое другое, в зависимости от конфигурации вашего магазина», — советуют авторы WooCommerce.

Source

Похожие записи:

  1. В сети появились эксплойты для уязвимостей в трех популярных плагинах WordPress
  2. 75 000 сайтов WordPress находятся под угрозой из-за ошибок в плагинах онлайн-курсов
  3. Приложения с 20 миллионами установок предлагают пользователям поддельные вознаграждения
  4. расширение хтб. Плагин пентеста для Gitea и Escape from Docker
ЧИТАТЬ   Сколько весит копейка? [2023]