Un grave difetto di sicurezza che colpisce il plugin WooCommerce Payments per WordPress, installato su oltre 500.000 siti web, è stato risolto con l’emissione di patch di sicurezza. La società ha dichiarato in un avviso del 23 marzo 2023 che, se lasciato senza risoluzione, il problema potrebbe consentire a un attore malevolo di ottenere l’accesso admin non autorizzato ai negozi colpiti. In altre parole, secondo la società di sicurezza WordPress Wordfence, l’errore potrebbe permettere a un attaccante non autenticato di impersonare un amministratore e prendere completamente il controllo del sito web senza alcuna interazione dell’utente o ingegneria sociale richiesta.
Il ricercatore di Sucuri, Ben Martin, ha notato che la vulnerabilità sembra risiedere in un file PHP chiamato “class-platform-checkout-session.php”. Michael Mazzolini della società di testing di penetrazione svizzera GoldNetwork è stato accreditato per aver scoperto e segnalato la vulnerabilità.
WooCommerce ha anche dichiarato di aver lavorato con WordPress per aggiornare automaticamente i siti che utilizzano le versioni del software interessate. Le versioni corrette includono 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 e 5.6.2.
Inoltre, i responsabili del plugin di e-commerce hanno riferito che disabiliteranno il programma beta WooPay per motivi di sicurezza, poiché il difetto di sicurezza ha il potenziale di influire sul servizio di pagamento. Non ci sono prove che la vulnerabilità sia stata sfruttata attivamente finora, ma il ricercatore di Wordfence Ram Gall ha messo in guardia sulla possibile diffusione su larga scala non appena diventerà disponibile una prova di concetto.
Oltre ad aggiornare alla versione più recente, gli utenti sono invitati a verificare la presenza di nuovi utenti amministratori e, in caso positivo, a cambiare tutte le password degli amministratori e a ruotare le chiavi API di WooCommerce e del gateway di pagamento.
