Devido ao grande risco, o WordPress corrigiu uma falha do plugin WooCommerce Payments, forçando a instalação de uma atualização de segurança.
A Automattic, a empresa por trás do sistema de gerenciamento de conteúdo WordPress, está forçando a instalação de uma atualização de segurança em centenas de milhares de sites que executam o altamente popular WooCommerce Payments para lojas online.
O patch aborda uma vulnerabilidade crítica que pode permitir que invasores não autenticados obtenham acesso administrativo a lojas vulneráveis.
WordPress corrigiu uma falha do plugin WooCommerce Payments
Essa falha foi relatada por Michael Mazzolini da GoldNetwork e afeta o WooCommerce Payments 4.8.0 e superior.
O WordFence diz que invasores não autenticados podem explorar o bug para “representar um administrador e assumir completamente o controle de um site sem qualquer interação do usuário ou engenharia social necessária”, enquanto o Patchstack adverte que, como “essa vulnerabilidade não requer autenticação, é muito provável que seja descoberta em massa”. explorado muito em breve.”
A equipe do WooCommerce o corrigiu em atualizações de segurança emitidas recentemente e diz que não encontrou nenhuma evidência de que esse bug crítico esteja sendo direcionado ou explorado em estado selvagem.
“Neste momento, não temos evidências de que a vulnerabilidade foi explorada além de identificá-la em nosso próprio programa de teste de segurança. Não acreditamos que nenhuma loja ou dados de clientes tenham sido comprometidos como resultado dessa vulnerabilidade”, disse Beau Lebens, chefe de engenharia da WooCommerce.
“Desativamos imediatamente os serviços afetados e reduzimos o problema para todos os sites hospedados no WordPress.com, Pressable e WPVIP.”
As lojas online WooCommerce vulneráveis hospedadas no WordPress.com estão em processo de atualização ou já foram atualizadas para corrigir a vulnerabilidade.
Beau Lebens, complementou dizendo que:
“Enviamos uma correção e trabalhamos com a equipe de plug-ins do WordPress.org para atualizar automaticamente sites que executam WooCommerce Payments 4.8.0 a 5.6.1 para versões corrigidas. A atualização está sendo lançada automaticamente para o maior número possível de lojas.”
Os administradores que hospedam uma instalação do WordPress em seus próprios servidores terão que atualizar manualmente o WooCommerce usando o seguinte procedimento:
- No painel WP Admin, clique no item de menu Plugins e procure por WooCommerce Payments em sua lista de plugins.
- O número da versão deve ser exibido na coluna Descrição ao lado do nome do plug-in. Se esse número corresponder a qualquer uma das versões corrigidas listadas abaixo, nenhuma outra ação será necessária.
- Se uma nova versão estiver disponível para download, você verá um aviso orientando-o a atualizar o WooCommerce Payments – vá em frente e faça isso.
Versões corrigidas do WooCommerce Payments: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 e 5.6.2.
Depois de proteger suas lojas, os administradores são aconselhados a verificar usuários administrativos recém-adicionados e postagens suspeitas adicionadas a seus sites.
Se você encontrar qualquer evidência de atividade inesperada, atualize imediatamente todas as senhas de administrador e alterne as chaves de API do Gateway de pagamento e WooCommerce.
“Também recomendamos alterar quaisquer dados privados ou secretos armazenados em seu banco de dados WordPress/WooCommerce. Isso pode incluir chaves API, chaves públicas/privadas para gateways de pagamento e muito mais, dependendo da configuração específica da sua loja”, disse Lebens.
“Encorajamos qualquer pessoa que apoie ou desenvolva para outros comerciantes WooCommerce a compartilhar essas informações e garantir que seus clientes que tenham o WooCommerce Payments instalado estejam usando a versão mais atualizada do WooCommerce Payments.”
Este plug-in do WordPress tem mais de 500.000 instalações ativas e pode ser usado para fornecer aos clientes da loja um pagamento fácil de configurar e gerenciar.
