Rilasciate le patch per vulnerabilità WooCommerce Payments su oltre 500.000 siti WordPress
Sono state rilasciate le patch per una vulnerabilità di sicurezza critica che interessa il plugin WooCommerce Payments per WordPress, installato su oltre 500.000 siti web. Questo plugin consente ai proprietari di negozi WooCommerce di accettare pagamenti con carte di credito e di debito e di gestire le transazioni all’interno del cruscotto di WordPress.
La vulnerabilità, se non risolta, potrebbe consentire a un malintenzionato di ottenere un accesso amministrativo non autorizzato ai negozi interessati, ha dichiarato l’azienda in un avviso del 23 marzo 2023. Il problema riguarda le versioni da 4.8.0 a 5.6.1.
Dettagli sulla vulnerabilità e scoperta
In altre parole, il problema potrebbe consentire a un “aggressore non autenticato di impersonare un amministratore e prendere completamente il controllo di un sito web senza alcuna interazione con l’utente o ingegneria sociale”, ha dichiarato la società di sicurezza di WordPress Wordfence.
La vulnerabilità sembra risiedere in un file PHP chiamato “class-Platform-checkout-session.php”, ha osservato Ben Martin, ricercatore di Sucuri. A scoprire e segnalare la vulnerabilità è Michael Mazzolini della società svizzera di penetration testing GoldNetwork. Il punteggio CVSS assegnato a questa vulnerabilità è 9.8, che indica un livello di gravità critico.
Misure di sicurezza e aggiornamenti per la vulnerabilità WooCommerce Payments
WooCommerce ha inoltre dichiarato di aver collaborato con WordPress per aggiornare automaticamente i siti che utilizzano le versioni del software interessate. Le versioni patchate includono le versioni 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 e 5.6.2.
Tuttavia, molti proprietari di negozi hanno disattivato gli aggiornamenti automatici per garantire un test adeguato prima dell’aggiornamento.
Ora che la vulnerabilità è stata resa pubblica, è indispensabile che tutti i negozi che utilizzano la versione 4.8.0+ del plugin lo aggiornino manualmente il prima possibile. I siti WooCommerce ospitati su WordPress.com, Pressable e WPVIP sono già stati patchati.
Beau Lebens, responsabile dell’ingegneria di WooCommerce, ha pubblicato un avviso sulla vulnerabilità, che, a suo dire, “se sfruttata, potrebbe consentire l’accesso di amministratori non autorizzati ai negozi interessati”.
Non ci sono prove dello sfruttamento di questa vulnerabilità fino ad oggi, ma si prevede che possa essere usata come arma su larga scala una volta che sarà disponibile un proof-of-concept, ha avvertito Ram Gall, ricercatore di Wordfence.
Inoltre, i manutentori del plugin per l’e-commerce hanno dichiarato di aver disabilitato il programma beta di WooPay a causa del timore che il difetto di sicurezza possa avere un impatto sul servizio di pagamento.
Controllare i segni di compromissione e precauzioni
Dopo aver messo in sicurezza i propri negozi, si consiglia agli amministratori di verificare la presenza di nuovi utenti amministratori e di post sospetti aggiunti ai propri siti web. Se si trovano prove di attività sospette, è necessario aggiornare immediatamente tutte le password degli amministratori e ruotare le chiavi API del gateway di pagamento e di WooCommerce.
Beau Lebens, responsabile dell’ingegneria di WooCommerce
“Si consiglia inoltre di modificare tutti i dati privati o segreti memorizzati nel database di WordPress/WooCommerce. Ciò può includere chiavi API, chiavi pubbliche/private per i gateway di pagamento e altro ancora, a seconda della particolare configurazione del vostro negozio.
Incoraggiamo chiunque supporti o sviluppi per altri commercianti WooCommerce a condividere queste informazioni e ad assicurarsi che i loro clienti che hanno installato WooCommerce Payments stiano utilizzando la versione più aggiornata di WooCommerce Payments.