Automattic, los editores del complemento WooCommerce, han comunicado el hallazgo y parcheo de una puerta de inseguridad crítica en el complemento WooCommerce Payments.
La puerta de inseguridad deja que un agresor consiga credenciales de nivel de gestor y realice una toma de control completa del lugar.
El gestor es el papel de usuario mucho más autorizado en WordPress, que entrega ingreso terminado a un lugar de WordPress con la aptitud de hacer múltiples cuentas de nivel de gestor, tal como la aptitud de remover todo el sitio.
Lo que provoca que esta puerta de inseguridad particularmente sea fundamento de enorme preocupación es que está libre para atacantes no autenticados, lo que quiere decir que no precisan conseguir primero otro permiso para manejar el ubicación y conseguir un papel de usuario como gestor.
Constructor de complementos de seguridad de WordPress Wordfence describió esta puerta de inseguridad:
«Tras comprobar la actualización, determinamos que suprimió el código vulnerable que podría dejar que un agresor no autenticado se lleve a cabo pasar por un gestor y tome el control terminado de un portal de internet sin precisar interacción del usuario o ingeniería popular».
Interfaz de seguridad del página web Sucuri emitió una observación sobre la puerta de inseguridad que entra en mucho más datos.
Sucuri enseña que la puerta de inseguridad semeja estar en el próximo fichero:
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
Asimismo explicaron que el «arreglo» que incorporó Automattic es remover el fichero.
Notas sobre los jugos:
«Según el historial de cambios del complemento, semeja que el fichero y su ocupación sencillamente se removieron completamente…»
El sitio de WooCommerce ha anunciado un aviso que enseña por qué razón optó por remover completamente el fichero perjudicado:
«Ya que esta puerta de inseguridad asimismo tenía el potencial de perjudicar a WooPay, un servicio nuevo de pago en prueba beta, hemos deshabilitado por un tiempo el software beta».
La puerta de inseguridad del complemento de pago de WooCommerce fue descubierta el 22 de marzo de 2023 por un estudioso de seguridad de afuera que avisó a Automattic.
Automattic lanzó de forma rápida un parche.
Los datos de la puerta de inseguridad se publicarán el 6 de abril de 2023.
Esto quiere decir que cualquier lugar que no haya actualizado este complemento se volverá vulnerable.
Qué versión del complemento WooCommerce Payments es vulnerable
WooCommerce ha actualizado el complemento a la versión 5.6.2. Esta se considera la versión mucho más actualizada y no vulnerable del lugar.
Automattic ha forzado una actualización, pero posiblemente ciertos sitios no la hayan recibido.
Se aconseja a todos y cada uno de los clientes del complemento perjudicado que verifiquen que sus instalaciones estén actualizadas a la versión 5.6.2 del complemento WooCommerce Payments.
En el momento en que se haya arreglado la puerta de inseguridad, WooCommerce sugiere que realice las próximas acciones:
“En el momento en que haya ejecutado una versión segura, deseará revisar si hay individuos o publicaciones inopinados en el lugar. Si halla prueba de actividad inopinada, le sugerimos:
Actualizar las claves de acceso de todos y cada uno de los individuos gestores de su ubicación, singularmente si reutilizan exactamente las mismas claves de acceso en múltiples websites.
Rotación de las claves API de WooCommerce y pasarela de pago usadas en su lugar Aquí se enseña de qué manera actualizar las claves API de WooCommerce. Para establecer nuevamente otras claves, consulte la documentación de esos complementos o servicios concretos».
Lea las inseguridades de WooCommerce explicadas:
Puerta de inseguridad crítica parcheada en los pagos de WooCommerce: lo que precisa comprender
Fuente: searchenginejournal
Hashtags: #Puerta de inseguridad #del #complemento #WordPress #WooCommerce #Payments
Comentarios recientes