WooCommerce Payments, plugin, který umožňuje majitelům obchodů WooCommerce přijímat platby kreditními a debetními kartami a spravovat transakce uvnitř administrace WordPressu, opravil zranitelnost Authentication Bypass and Privilege Escalation se skóre CVSS 9.8 (Critical). Zásuvný modul je aktivní na více než 500 000 webových stránkách.
Beau Lebens, vedoucí technického oddělení WooCommerce, dnes zveřejnil upozornění na zranitelnost, která podle něj „může v případě zneužití umožnit neoprávněný přístup administrátora k ovlivněným obchodům“. Objevil ji bezpečnostní výzkumník, který se účastní programu HackerOne společnosti WooCommerce.
Společnost WooCommerce spolupracovala se serverem WordPress.org na vynucené aktualizaci webů s platebními službami WooCommerce verzí 4.8.0 až 5.6.1 na opravené verze. Mnoho majitelů obchodů má automatické aktualizace vypnuté, aby zajistili řádné testování před aktualizací. Nyní, když byla zranitelnost zveřejněna, je nutné, aby všechny obchody s verzí 4.8.0+ zásuvného modulu co nejdříve provedly ruční aktualizaci. Weby WooCommerce hostované na serverech WordPress.com, Pressable a WPVIP již byly opraveny.
V tuto chvíli nemá WooCommerce žádné důkazy o zneužití zranitelnosti, ale inženýři pluginu doporučují zkontrolovat, zda na webu nejsou neočekávaně přidáni uživatelé administrátora nebo příspěvky. Poradenství obsahuje další podrobnosti o tom, co dělat, pokud se domníváte, že byl váš web napaden. Jako varovné opatření společnost WooCommerce dočasně zakázala beta program WooPay, protože zranitelnost ovlivňuje tuto novou pokladní službu, kterou byla ve fázi beta testů.
