已针对影响 WordPress 的 WooCommerce 支付插件的严重安全漏洞发布了补丁,该插件已安装在超过 500,000 个网站上。
该公司在 2023 年 3 月 23 日的公告中表示,如果不解决该缺陷,不良行为者可能会获得对受影响商店的未经授权的管理员访问权限。它会影响版本 4.8.0 到 5.6.1。
换句话说,这个问题可能允许“未经身份验证的攻击者冒充管理员并完全接管网站,而无需任何用户交互或需要社会工程,”WordPress 安全公司 Wordfence说。
Sucuri 研究员 Ben Martin指出,该漏洞似乎存在于名为“class-platform-checkout-session.php”的 PHP 文件中。
瑞士渗透测试公司 GoldNetwork 的 Michael Mazzolini 发现并报告了该漏洞。
WooCommerce 还表示,它与 WordPress 合作,使用受影响的软件版本自动更新网站。修补版本包括 4.8.2、4.9.1、5.0.4、5.1.3、5.2.2、5.3.1、5.4.1、5.5.2 和 5.6.2。
此外,电子商务插件的维护者指出,由于担心安全缺陷有可能影响支付结账服务,它正在禁用 WooPay 测试版程序。
Wordfence 研究员 Ram Gall 警告说,目前还没有证据表明该漏洞已被积极利用,但一旦概念验证可用,预计它将被大规模武器化。
除了更新到最新版本,建议用户检查是否有新添加的管理员用户,如果有,更改所有管理员密码并轮换支付网关和 WooCommerce API 密钥。
