WooCommerce 是流行的电子商务支付平台的制造商,拥有超过220,000 个实时网站,它报告说在一个插件中发现了一个漏洞,该漏洞可能允许未经授权的管理员访问。
在 3 月 23 日的客户咨询中,WooCommerce 表示,一旦得知 WooCommerce Payments 中的漏洞,它会立即停用受影响的服务,并缓解 WordPress.com、Pressable 和 WPVIP 上托管的所有网站的问题。
该漏洞由GoldNetwork 的Michael Mazzolini报告,他正在通过 WooCommerce 的 HackerOne 程序进行白帽测试。虽然 CVE 未决,但它被评为严重漏洞,CVSS 评分为 9.8。
另一方面,一旦得知该漏洞,WordFence 就开发了概念验证 (POC),并开始编写和测试 3 月 23 日发布的防火墙规则。在博客文章中,WordFence 表示,无论 Wordfence 的版本如何,公司使用,他们建议更新到最新版本的 WooCommerce 支付插件,即 5.6.2
Securi 研究人员指出,电子商务网站现在有时间在 4 月 6 日发布该漏洞利用的全部细节之前安装 WooPayments 平台的补丁版本 5.6.2。
Securi 研究人员写道:“虽然我们目前所知有限,但我们确实知道该漏洞允许未经身份验证的网站管理接管。” “建议使用此插件的网站管理员尽快发布补丁,并检查其 WordPress 网站内是否存在任何可疑活动,例如从无法识别的 IP 地址执行的任何管理操作。”
Delinea 的首席安全科学家兼咨询 CISO Joseph Carson 表示,最近 WooCommerce 支付插件中的严重漏洞是一个很好的例子,说明了一个好的漏洞披露程序如何能够在漏洞被滥用和破坏之前成功并关闭漏洞。
“近年来,漏洞赏金计划将白帽安全研究人员与企业聚集在一起,帮助在恶意黑客发现漏洞之前发现并修补漏洞,”Carson 说。“这是一项艰巨且极具挑战性的责任,但一点一点地,它使我们所有人都更加安全,并保护许多企业免于成为网络犯罪的受害者。”
Inversion6 的首席信息安全官 Craig Burland 指出,虽然从表面上看,这似乎是安全团队的胜利。深入观察,Burland 对正在发挥作用的安全开发实践有疑问。他想知道允许未经身份验证的攻击者冒充任何??人并最终构成管理员帐户的漏洞如何通过测试。
“对于涉及金融交易的插件,测试级别必须严格——黑盒测试、白盒测试、SAST 和 DAST,”Burland 说。“即使是简单的增强功能也会使安全控制短路。对于考虑对供应链风险管理进行投资的组织,这是一个很好的用例,可以彻底了解您将谁和什么整合到您的在线业务中。你的客户会感谢你的勤奋。”
