500.000’den Fazla WordPress Sitesi İçin Kritik WooCommerce Ödeme Eklentisi Kusuru Düzeltildi

24 Mart 2023Ravie LakshmananWeb Güvenliği / WordPress

500.000’den fazla web sitesinde yüklü olan WordPress için WooCommerce Payments eklentisini etkileyen kritik bir güvenlik açığı için yamalar yayınlandı.

Şirket, 23 Mart 2023 tarihli bir danışma belgesinde, kusurun çözülmeden bırakılması halinde kötü bir kişinin etkilenen mağazalara yetkisiz yönetici erişimi elde etmesine olanak sağlayabileceğini söyledi. 4.8.0 ile 5.6.1 arasındaki sürümleri etkiliyor.

WordPress güvenlik şirketi Wordfence, farklı bir şekilde ifade edersek, sorun “kimliği doğrulanmamış bir saldırganın bir yöneticinin kimliğine bürünmesine ve herhangi bir kullanıcı etkileşimi veya sosyal mühendislik gerektirmeden bir web sitesini tamamen ele geçirmesine” izin verebilir. söz konusu.

Sucuri araştırmacısı Ben Martin, güvenlik açığının “class-platform-checkout-session.php” adlı bir PHP dosyasında bulunduğu görülüyor. kayıt edilmiş.

Güvenlik açığını keşfeden ve bildiren kişi, İsviçre sızma testi şirketi GoldNetwork’ten Michael Mazzolini’dir.

WooCommerce ayrıca söz konusu yazılımın etkilenen sürümlerini kullanarak siteleri otomatik güncellemek için WordPress ile birlikte çalıştı. Yamalı sürümler 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 ve 5.6.2’yi içerir.

Ayrıca, e-ticaret eklentisinin sahipleri, güvenlik kusurunun ödeme kontrol hizmetini etkileme potansiyeline sahip olduğu endişeleri nedeniyle WooPay beta programını devre dışı bıraktığını belirtti.

Wordfence araştırmacısı Ram Gall, güvenlik açığının bugüne kadar aktif olarak kullanıldığına dair bir kanıt yok, ancak bir kavram kanıtı elde edildiğinde büyük ölçekte silah haline getirilmesinin beklendiği konusunda uyardı.

En son sürüme güncellemenin yanı sıra, kullanıcıların yeni eklenen yönetici kullanıcıları kontrol etmeleri ve öyleyse tüm yönetici şifrelerini değiştirmeleri ve ödeme ağ geçidi ile WooCommerce API anahtarlarını döndürmeleri önerilir.