Lỗ hổng Plugin thanh toán WooC Commerce quan trọng được vá cho hơn 500.000 trang web WordPress

24 Tháng ba, 2023Ravie LakshmananBảo mật web / WordPress

Wordpress WooC Commerce

Các bản vá đã được phát hành cho một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến plugin Thanh toán WooC Commerce cho WordPress, được cài đặt trên hơn 500.000 trang web.

Công ty cho biết trong một lời khuyên vào ngày 23 tháng 3 năm 2023. Lỗ hổng này, nếu không được giải quyết, có thể cho phép kẻ xấu giành quyền truy cập trái phép của quản trị viên vào các cửa hàng bị ảnh hưởng. Lỗ hổng này ảnh hưởng đến các phiên bản 4.8.0 đến 5.6.1.

Nói cách khác, vấn đề có thể cho phép “kẻ tấn công không được xác thực đóng giả quản trị viên và chiếm hoàn toàn trang web mà không cần bất kỳ tương tác người dùng hoặc kỹ thuật xã hội nào”, công ty bảo mật WordPress Wordfence cho biết.

Nhà nghiên cứu Ben Martin của Sucuri lưu ý rằng lỗ hổng dường như nằm trong một tệp PHP có tên “class-platform-checkout-session.php”.

Michael Mazzolini của công ty thử nghiệm thâm nhập Thụy Sĩ GoldNetwork được cho là người đã phát hiện và báo cáo lỗ hổng bảo mật.

WooC Commerce cũng cho biết họ đã làm việc với WordPress để tự động cập nhật các trang web bằng các phiên bản phần mềm bị ảnh hưởng. Các phiên bản vá bao gồm 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 và 5.6.2.

HỘI THẢO TRỰC TUYẾN THN

Trở thành Chuyên gia ứng phó sự cố!

Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!

Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!

Hơn nữa, những người duy trì plugin thương mại điện tử lưu ý rằng họ đang vô hiệu hóa chương trình WooPay beta do lo ngại rằng lỗi bảo mật có khả năng ảnh hưởng đến dịch vụ thanh toán.

Ram Gall, nhà nghiên cứu của Wordfence, cảnh báo rằng không có bằng chứng nào cho thấy lỗ hổng này đã được tích cực khai thác cho đến nay, nhưng nó dự kiến ​​sẽ được vũ khí hóa trên quy mô lớn sau khi có bằng chứng về khái niệm.

Bên cạnh việc cập nhật lên phiên bản mới nhất, người dùng nên kiểm tra người dùng quản trị viên mới được thêm và nếu có, hãy thay đổi tất cả mật khẩu quản trị viên và xoay cổng thanh toán cũng như khóa API WooC Commerce.

Tìm thấy bài viết này thú vị? Theo dõi chúng tôi tại Twitter và LinkedIn để đọc thêm nội dung độc quyền mà chúng tôi đăng.

Leave a Reply