WooCommerce支付插件中的严重缺陷允许网站恶意入侵

针对 WordPress 的 WooCommerce 支付插件中的一个严重漏洞的补丁已经为超过 500,000 个网站发布。

2023 年 3 月 23 日，Wordfence的研究人员观察到“WooCommerce支付——由Woo构建和支持的完全集成的解决方案”插件已更新到 5.6.2 版。

WooCommerce Payments插件是WooCommerce开源电子商务平台的完全集成支付解决方案，该插件由Automattic开发。WooCommerce Payments安装在超过500,000个网站上。

研究人员分析了补丁并确定插件背后的开发团队删除了一部分代码，这些代码可能允许未经身份验证的攻击者冒充管理员并在没有任何用户交互的情况下完全接管WordPress网站。

该漏洞影响插件版本4.8.0到5.6.1，它首先由渗透测试公司GoldNetwork的Michael Mazzolini发现。

“我们开发了概念验证并立即开始编写和测试防火墙规则。该规则于2023年3月23日在同一天发布给Wordfence Premium、Wordfence Care和Wordfence Response客户。”

“无论您使用的是哪个版本的Wordfence，我们都敦促您立即更新到最新版本的WooCommerce Payments插件，截至撰写本文时为5.6.2。”

根据WordPress安全公司Sucuri进行的分析，该漏洞存在于名为“class-platform-checkout-session.php”的PHP文件中。

Automattic使用其插件发布所有WordPress网站的自动/强制更新。

WooCommerce建议使用该插件的网站管理员：

1. 立即将woocommerce-payments更新到版本5.6.2
2. 更改所有管理员密码
3. 轮换您的支付网关和WooCommerce API 密钥。

好消息是，没有证据表明该漏洞已在野外被积极利用，但是，专家警告说，威胁者可能很快就会利用它。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5344.html